Windows Server 2012 - ADM412

Configurao de servios avanados do Windows Server 2012
Bem-vindo!
Obrigado para participar do nosso treinamento. Trabalhamos com os nossos
Microsoft Certified Partners for Learning Solutions e Microsoft IT Academies para
proporcionar a voc uma experincia de aprendizado de alta qualidade, quer voc seja
um profissional buscando aprimorar suas habilidades ou um estudante se preparando
para uma carreira na rea de TI.
Microsoft Certified Trainers e Instructors o seu instrutor um especialista tcnico

e em treinamentos que atende a avanados requisitos de certificao. Alm disso, se os
instrutores estiverem oferecendo o treinamento em um de nossos Certified Partners for
Learning Solutions, eles tambm sero avaliados durante o ano pelos alunos e pela
Microsoft.
Benefcios do Exame de Certificao aps o treinamento, considere a possibilidade

de prestar um exame de Certificao Microsoft. As Certificaes Microsoft validam suas
habilidades em tecnologias da Microsoft e podem ajudar a diferenci-lo na procura por
um emprego ou impulsionar a sua carreira. De fato, uma pesquisa independente
realizada pelo IDC concluiu que 75% dos gerentes consideram as certificaes
importantes para o desempenho da equipe1. Pergunte ao seu instrutor sobre descontos
e promoes de exames de Certificao Microsoft que possam estar disponveis para
voc.
Garantia de satisfao do cliente os nossos Certified Partners for Learning Solutions

oferecem garantia de satisfao, e ns os consideramos responsveis por isso. Ao final
da aula, preencha uma avaliao da experincia de hoje. Seus comentrios so muito
importantes para ns!
Desejamos a voc uma excelente experincia em termos de aprendizado e uma carreira de

constante sucesso!
Atenciosamente,
Microsoft Learning
www.microsoft.com/brasil/certifique
1 IDC,
Value of Certication: Team Certication and Organizational Performance, novembro de 2006
xiii
xiv
Agradecimentos
O Microsoft Learning gostaria de reconhecer e agradecer s seguintes pessoas por sua contribuio
no desenvolvimento deste curso. O esforo dessas pessoas em vrias fases do desenvolvimento garantiu
que voc tivesse uma boa experincia em sala de aula.
Stan Reimer desenvolvedor de contedo

Stan Reimer presidente da S. R. Technical Services Inc. e trabalha como consultor, instrutor e autor.
Stan tem vasta experincia em consultoria com o AD DS (Servios de Domnio do Active Directory)
e implantaes do Microsoft Exchange Server para algumas das maiores empresas do Canad. Stan
o autor principal de dois livros sobre o Active Directory para Microsoft Press. Durante os ltimos
nove anos, Stan tem escrito cursos para o Microsoft Learning, especializando-se em cursos sobre
o Active Directory e o Exchange Server. Stan um MCT (Microsoft Certified Trainer) h 12 anos.
Damir Dizdarevic Desenvolvedor de Contedo/Especialista

Damir Dizdarevic possui as certificaes MCT, Microsoft Certified Solutions Expert (MCSE), Microsoft
Certified Technology Specialist (MCTS) e Microsoft Certified Information Technology Professional (MCITP).
Ele gerente e instrutor do Centro de Aprendizagem da Logosoft d.o.o. em Sarajevo, Bsnia e
Herzegovina. Damir tem mais de 17 anos de experincia em plataformas da Microsoft e especializado
em Windows Server, Exchange Server, segurana e virtualizao. Ele trabalhou como especialista e
revisor tcnico em muitos cursos Microsoft Official Courses (MOC) e publicou mais de 400 artigos em
vrias revistas de TI, como Windows ITPro e INFO Magazine. Ele tambm um palestrante frequente
e de renome na maioria das conferncias da Microsoft na Europa Oriental. Alm disso, Damir tem a
certificao MVP (Microsoft Most Valuable Professional) para Gerenciamento da Infraestrutura do
Windows Server.
Orin Thomas Desenvolvedor de Contedo

Orin Thomas possui certificao como MVP e MCT e vrias certificaes como MCSE e MCITP.
Ele j escreveu mais de 20 livros para a Microsoft Press, alm de colaborar como editor na revista
Windows IT Pro. Orin trabalha na rea de TI desde o incio dos anos 1990. Ele atua regularmente
como palestrante em eventos como o TechED na Austrlia e em todas as partes do mundo sobre
o Windows Server e sistemas operacionais cliente do Windows, o Microsoft System Center e tpicos
de segurana. Orin fundou e dirige o Melbourne System Center Users Group.
Vladimir Meloski Desenvolvedor de Contedo

Vladimir Meloski possui as certificaes MCT e MVP no Exchange Server, alm de atuar como consultor,
fornecendo solues de comunicaes unificadas e infraestrutura com base no Microsoft Exchange Server,
no Microsoft Lync Server e no Microsoft System Center. Vladimir tem 16 anos de experincia como
profissional de TI e j esteve envolvido em conferncias da Microsoft na Europa e nos Estados Unidos
como palestrante, moderador, inspetor de laboratrios prticos e especialista tcnico. Ele tambm j
esteve envolvido como especialista e revisor tcnico para vrios cursos MOC.
xv
Nick Portlock Autor

Nick Portlock possui uma certificao como MCT por 15 anos. Ele instrutor de TI autnomo, consultor
e autor. No ano passado, Nick ensinou em mais de 20 pases. Ele especialista nos Servios de Domnio
do Active Directory, em Poltica de Grupo e em DNS (Sistema de Nomes de Domnio) e prestou servios
de consultoria para vrias empresas na ltima dcada. Nick revisou mais de 100 cursos da Microsoft e
membro do programa Windows 7 Series Technical Expert Panel (STEP).
Gary Dunlop Especialista

Gary Dunlop mora em Winnipeg, Canad, e consultor tcnico e instrutor da Broadview Networks. Gary
autor de uma srie de ttulos do Microsoft Learning e possui uma certificao como MCT desde 1997.
Ulf B. Simon-Weidner Revisor Tcnico

Ulf B. Simon-Weidner um consultor snior de um provedor europeu para solues de infraestrutura na
Alemanha. Ele tambm autor independente, consultor, palestrante e instrutor. Ulf foi premiado como
MVP repetidamente para Servios de Diretrio do Windows Server na ltima dcada e MCT h mais
de 10 anos. Ao longo de sua carreira profissional, Ulf teve participou de vrias consultorias em grandes
corporaes europeias ou globais. Ele tambm publicou vrios livros e artigos de revista sobre Servios
de Domnio do Active Directory, Windows Server, sistemas operacionais cliente do Windows e segurana.
Ulf um palestrante convidado frequente de conferncias, inclusive Microsoft TechEd Amrica do Norte
e Europa ou a The Experts Conference. Ulf fornece sua experincia tcnica e de campo em vrios
coursewares do Windows Server como revisor tcnico.
xvii
Contedo
Mdulo 1: Implementao de servios de rede avanados
Lio 1: Configurao de recursos avanados de DHCP
Lio 2: Definio das configuraes avanadas de DNS
Lio 3: Implementao de IPAM
Laboratrio: Implementao de servios de rede avanados
1-2
1-12
1-24
1-35
Mdulo 2: Implementao de servios de arquivo avanados

Lio 1: Configurao do armazenamento iSCSI
Lio 2: Configurao de BranchCache
Lio 3: Otimizao do uso de armazenamento
Laboratrio A: Implementao de servios de arquivo avanados
Laboratrio B: Implementao do BranchCache
2-2
2-10
2-19
2-26
2-33
Mdulo 3: Implementao do Controle de Acesso Dinmico

Lio 1: Viso geral do Controle de Acesso Dinmico
Lio 2: Planejamento do Controle de Acesso Dinmico
Lio 3: Implantao do Controle de Acesso Dinmico
Laboratrio: Implementao do Controle de Acesso Dinmico
3-2
3-9
3-14
3-25
Mdulo 4: Implementao de implantaes distribudas dos Servios de Domnio

do Active Directory
Lio 1: Viso geral de implantaes distribudas do AD DS
Lio 2: Implantao de um ambiente distribudo do AD DS
Lio 3: Configurao de relaes de confiana do AD DS
Laboratrio: Implementao de implantaes do AD DS distribudas
4-2
4-8
4-17
4-23
Mdulo 5: Implementao de sites e da replicao dos Servios de Domnio do Active Directory

Lio 1: Viso geral da replicao do AD DS
Lio 2: Configurao de sites do AD DS
Lio 3: Configurao e monitoramento da replicao do AD DS
Laboratrio: Implementao de sites e replicao do AD DS
5-2
5-11
5-20
5-28
xviii
Mdulo 6: Implementao dos Servios de Certificados do Active Directory

Lio 1: Viso geral do PKI
Lio 2: Implantao de autoridades de certificao
Laboratrio A: Implantao e configurao da hierarquia de autoridades
de certificao
Lio 3: Implantao e gerenciamento de modelos de certificados
Lio 4: Implementao da distribuio e revogao de certificados
Lio 5: Gerenciamento da recuperao de certificados
Laboratrio B: Implantao e gerenciamento de certificados
6-2
6-12
6-19
6-23
6-29
6-39
6-44
Mdulo 7: Implementao do Active Directory Rights Management Services

Lio 1: Viso geral do AD RMS
Lio 2: Implantao e gerenciamento de uma infraestrutura do AD RMS
Lio 3: Configurao da proteo de contedo do AD RMS
Lio 4: Configurao do acesso externo ao AD RMS
Laboratrio: Implementao do AD RMS
7-2
7-8
7-15
7-22
7-27
Mdulo 8: Implementao dos Servios de Federao do Active Directory

Lio 1: Viso geral do AD FS
Lio 2: Implantao do AD FS
Lio 3: Implementao do AD FS para uma nica organizao
Lio 4: Implantao do AD FS em um cenrio de federao B2B
Laboratrio: Implementao dos Servios de Federao
do Active Directory
8-2
8-12
8-20
8-27
8-34
Mdulo 9: Implementao do Balanceamento de Carga de Rede

Lio 1: Viso geral do NLB
Lio 2: Configurao de um cluster NLB
Lio 3: Planejamento de uma implementao do NLB
Laboratrio: Implementao do Balanceamento de Carga de Rede
9-2
9-6
9-13
9-19
Mdulo 10: Implementao do cluster de failover

Lio 1: Viso geral do cluster de failover
Lio 2: Implementao de um cluster de failover
Lio 3: Configurao de aplicativos e servios altamente disponveis
em um cluster de failover
Lio 4: Manuteno de um cluster de failover
Lio 5: Implementao de um cluster de failover multissite
Laboratrio: Implementao do cluster de failover
10-2
10-15
10-22
10-28
10-35
10-41
Mdulo 11: Implementao do cluster de failover com o Hyper-V

Lio 1: Viso geral da integrao do Hyper-V com o cluster de failover
Lio 2: Implementao de mquinas virtuais do Hyper-V em clusters
de failover
Lio 3: Implementao da movimentao de mquinas virtuais
do Hyper-V
Lio 4: Gerenciamento de ambientes virtuais do Hyper-V
usando o VMM
Laboratrio: Implementao do cluster de failover com o Hyper-V
11-2
11-9
11-19
11-26
11-38
Mdulo 12: Implementao da recuperao de desastres

Lio 1: Viso geral da recuperao de desastres
Lio 2: Implementao do backup do Windows Server
Lio 3: Implementao da recuperao de dados e de servidor
Laboratrio: Implementao do backup e restaurao
do Windows Server
12-2
12-8
12-19
12-24
Gabaritos dos laboratrios

Mdulo 1, Laboratrio: Implementao de servios de rede avanados
L1-1
Mdulo 2, Laboratrio A: Implementao de servios
de arquivo avanados
L2-11
Mdulo 2, Laboratrio B: Implementao do BranchCache
L2-19
Mdulo 3, Laboratrio: Implementao do Controle
de Acesso Dinmico
L3-27
Mdulo 4, Laboratrio: Implementao de implantaes
do AD DS distribudas
L4-39
Mdulo 5, Laboratrio: Implementao de sites e replicao do AD DS
L5-45
Mdulo 6, Laboratrio A: Implantao e configurao da hierarquia
de autoridades de certificao
L6-51
Mdulo 6, Laboratrio B: Implantao e gerenciamento de certificados L6-57
Mdulo 7, Laboratrio: Implementao do AD RMS
L7-67
Mdulo 8, Laboratrio: Implementao dos Servios de Federao
do Active Directory
L8-79
Mdulo 9, Laboratrio: Implementao do Balanceamento
de Carga de Rede
L9-93
Mdulo 10, Laboratrio: Implementao do cluster de failover
L10-99
Mdulo 11, Laboratrio: Implementao do cluster de failover
com o Hyper-V
L11-107
Mdulo 12, Laboratrio: Implementao do backup e restaurao
do Windows Server
L12-115
xix
Sobre este curso
xxi
Sobre este curso
Esta seo fornece uma breve Estrutura do curso, do pblico-alvo, dos pr-requisitos sugeridos
e dos seus objetivos.
Estrutura do curso
Este curso proporcionar a voc o conhecimento e as habilidades necessrios para provisionar
servios avanados em um ambiente empresarial do Windows Server 2012. Este curso ensinar voc a
configurar e gerenciar recursos de alta disponibilidade, arquivo e solues de armazenamento e servios
de rede no Windows Server 2012. Voc tambm saber sobre como configurar a infraestrutura dos
Servios de Domnio do Active Directory (AD DS) e implementar backups e recuperao de desastres.
Pblico-alvo
Este curso destinado a profissionais de TI com experincia prtica em implementao, gerenciamento
e manuteno de uma infraestrutura do Windows Server 2012 em um ambiente corporativo existente e
que desejam adquirir as habilidades e o conhecimento necessrio para executar gerenciamento avanado
e provisionamento de servios nesse ambiente do Windows Server 2012.
O pblico-alvo secundrio para este curso constitudo pelos que desejam adquirir a credencial
MCSA (Microsoft Certified Systems Administrador) ou prosseguir adquirindo as credenciais MCSE
(Microsoft Certified System Engineer) para as quais esse um pr-requisito. Profissionais de TI que
buscam certificao no exame 70-412: Configurao de servios avanados do Windows Server 2012
tambm podem fazer este curso.
Pr-requisitos do aluno
Este curso exige que voc atenda aos seguintes pr-requisitos:
Pelo menos, dois anos de experincia prtica com um ambiente do Windows Server 2008
ou do Windows Server 2012.
Conhecimento equivalente aos cursos 24410: Instalao e configurao do Windows Server 2012
Instalao e configurao do o Windows Server 2012 em ambientes empresariais existentes ou

como instalaes autnomas
Configurao do armazenamento local
Configurao de funes e recursos
Configurao de servios de arquivo e impresso
Configurao de servidores Windows Server 2012 para administrao local e remota
Configurao de endereos IPv4 e IPv6
Configurao de DNS (Sistema de Nomes de Domnio) e DHCP
Instalao de controladores de domnio
Criao e configurao de usurios, grupos, computadores e unidades organizacionais (UOs)
Criao e gerenciamento de Polticas de Grupo
xxii Sobre este curso
Configurao de polticas de segurana locais
Configurao do Firewall do Windows
Configurao do Windows Server 2012 Hyper-V
Conhecimento equivalente ao curso 24411: Administrao do Windows Server 2012:
Implantao e gerenciamento de imagens do Windows Server
Instalao e configurao do WSUS (Windows Server Update Services)
Monitoramento do ambiente Windows Server 2012
Instalao e configurao do Sistema de Arquivos Distribudos (DFS)
Instalao e configurao do Gerenciador de Recursos de Servidor de Arquivos (FSRM)
Configurao de polticas de acesso e auditoria de arquivo e disco
Configurao de segurana de DNS e integrao com o AD DS
Manuteno da integridade da rede pela configurao do Acesso de Rede usando NPS

(Servidor de Polticas de Rede) e NAP (Proteo de Acesso Rede)
Configurao de acesso remoto usando VPNs (redes virtuais privadas) e DirectAccess
Configurao de controladores de domnio
Gerenciamento e manuteno do ambiente do AD DS
Gerenciamento e manuteno do ambiente de domnio do Windows Server 2012 usando

a Poltica de Grupo
Objetivos do curso
Ao concluir este curso, os alunos estaro aptos a:
Configurar recursos avanados para o DHCP e DNS e configurar IPAM (Gerenciamento

de Endereo IP).
Configurar servios de arquivo para satisfazer requisitos comerciais avanados.
Configurar o Controle de Acesso Dinmico para gerenciar e auditar o acesso a arquivos

compartilhados.
Fornecer alta disponibilidade e balanceamento de carga para aplicativos baseados na Web

implementando NLB (Balanceamento de Carga de Rede).
Fornecer alta disponibilidade para servios de rede e aplicativos implementando cluster de failover.
Implantar e gerenciar mquinas virtuais de Hyper-V em um cluster de failover.
Implementar uma soluo de backup e recuperao de desastres com base nos requisitos comerciais
e tcnicos.
Planejar e implementar uma implantao do AD DS que inclui vrios domnios e florestas.
Planejar e implementar uma implantao do AD DS que inclui vrios locais.
Sobre este curso
Implementar uma implantao de Servios de Certificados do Active Directory (AD CS).
Implementar uma implantao do Active Directory Rights Management Services (AD RMS).
Implementar uma implantao de Servios de Federao do Active Directory (AD FS).
xxiii
Estrutura do curso
Veja a seguir a estrutura do curso:
O Mdulo 1, "Implementao de servios de rede avanados" descreve como configurar os recursos
avanados de DHCP e as configuraes de DNS e implementar o IPAM, que um novo recurso
do Windows Server 2012.
O Mdulo 2, "Implementao de servios de arquivo avanados" descreve como configurar um
armazenamento iSCSI (Internet Small Computer System Interface) e o Windows BranchCache. O mdulo
tambm descreve como implementar recursos do Windows Server 2012 que otimizam a utilizao do
armazenamento.
O Mdulo 3, "Implementao do Controle de Acesso Dinmico" descreve o Controle de Acesso
Dinmico, que um novo recurso do Windows Server 2012. Tambm explica como planejar e configurar
uma implementao do Controle de Acesso Dinmico.
O Mdulo 4, "Implementao de implantaes distribudas dos Servios de Domnio do Active Directory"
apresenta uma viso geral de implantaes distribudas do AD DS e o processo para implement-lo.
Tambm descreve como configurar relaes de confiana do AD DS e implementar implantaes
do AD DS complexas.
O Mdulo 5, Implementao de sites e da replicao dos Servios de Domnio do Active Directory"
descreve como a replicao funciona no AD DS em um ambiente do Windows Server 2012 e como
configurar sites do AD DS para otimizar o trfego de rede do AD DS. Tambm mostra como configurar
e monitorar a replicao do AD DS.
O Mdulo 6, Implementao dos Servios de Certificados do Active Directory" apresenta uma viso geral
da Infraestrutura de Chave Pblica (PKI) e descreve como implantar CAs (autoridades de certificao)
e modelos de certificado. Este mdulo tambm aborda a distribuio e a revogao de certificados e
o gerenciamento da recuperao de certificado.
O Mdulo 7, "Implementao do Active Directory Rights Management Services" descreve o AD RMS
e como voc pode us-lo para obter proteo de contedo. Tambm explica como implantar e gerenciar
uma infraestrutura do AD RMS e configurar a proteo de contedo do AD RMS e o acesso externo
ao AD RMS.
O Mdulo 8, "Implementao dos Servios de Federao do Active Directory" descreve cenrios
comerciais de federao de identidade e como voc pode usar o AD FS para abordar os cenrios.
Tambm descreve como implantar o AD FS e como implement-lo para uma organizao nica
e em um cenrio B2B.
O Mdulo 9, "Implementao do Balanceamento de Carga de Rede" descreve os recursos
e o funcionamento do NLB. Tambm explica como configurar um cluster NLB e planejar
uma implementao do NLB.
O Mdulo 10, Implementao do cluster de failover" descreve os recursos de cluster de failover no
Windows Server 2012. O mdulo tambm descreve como implementar e manter clusters de failover e
como configurar aplicativos e servios altamente disponveis em um cluster de failover.
xxiv Sobre este curso
O Mdulo 11, "Implementao do cluster de failover com o Hyper-V" descreve as opes para tornar
mquinas virtuais altamente disponveis. O mdulo tambm descreve a implementao de mquinas
virtuais do Hyper-V em clusters de failover e movimento de mquina virtual do Hyper-V.
O Mdulo 12, "Implementao da recuperao de desastres" descreve recuperao de desastres,
o servidor e recuperao de dados e o planejamento e a implementao de uma soluo de backup
para Windows Server 2012.
Mapeamento do exame/curso
Este curso, 24412B: Configurao de servios avanados do Windows Server 2012, tem um mapeamento
direto do seu contedo com o domnio de objetivos para o exame da Microsoft 70-412: Configurao
de servios avanados do Windows Server 2012.
A tabela abaixo fornecida como auxlio de estudo que ajudar voc na preparao para realizar esse
exame e para mostrar como os objetivos do exame e o contedo do curso se encaixam. O curso no foi
criado exclusivamente para dar suporte ao exame, mas fornece conhecimento e habilidades mais amplos
para permitir uma implementao no mundo real da tecnologia especfica. O curso tambm tem um
contedo que no abordado diretamente no exame e utilizar a experincia e as habilidades exclusivas
de seu Microsoft Certified Trainer qualificado.
Observao Os objetivos deste exame esto disponveis online na seguinte URL:
http://www.microsoft.com/learning/en/us/exam.aspx?ID=70-412&locale=en-us#tab2
(Alguns dos sites abordados neste curso pode ser em Ingls)
Exame 70-412: Configurao de servios avanados do Windows Server 2012

Domnio do objetivo do exame
Configurar e gerenciar a alta disponibilidade (16%)
Este objetivo pode incluir, mas no est
Configurar o
limitado a: Instalar ns de NLB; configurar os
Balanceamento
pr-requisitos do NLB; configurar a afinidade;
de Carga de Rede configurar regras de portas; configurar o modo
(NLB)
de operao do cluster; atualizar um cluster
do NLB
Este objetivo pode incluir, mas no
est limitado a: Configurar o Quorum;
configurar a rede de cluster; restaurar o
Configurar
nico ou a configurao do cluster; configurar
o cluster
o armazenamento de cluster; implementar a
de failover
Atualizao com Suporte a Cluster; atualizar
um cluster
Contedo do curso
Mdulo
Md 9
Lio
Lio
1/2/3
Laboratrio
Md 9 Ex
1/2/3
Md 10
Lio
1/2/3/4/5
Md 10 Ex
1/2/3/4
Sobre este curso
xxv
(continuao)

Configurar e gerenciar a alta disponibilidade (16%)
Gerenciar
limitado a: Definir configuraes especficas
funes de
de funo, incluindo compartilhamentos
cluster de
disponveis continuamente; configurar
failover
monitoramento de VM; definir preferncias e
configuraes de failover
Gerenciar o
limitado a: Executar a Migrao ao Vivo;
movimento de
executar a migrao rpida; executar a
Mquina Virtual
migrao de armazenamento; importar,
(VM)
exportar e copiar VMs; migrar de outras
plataformas (P2V a V2V)
Configurar as solues de arquivo e armazenamento (15%)
limitado a: Configurar o repositrio de dados
Configurar
NFS; configurar o BranchCache; configurar a
servios de
Infraestrutura de Classificao de Arquivos
arquivo
(FCI) usando o Gerenciador de Recursos de
avanados
Servidor de Arquivos (FSRM); configurar a
auditoria do acesso de arquivo
Implementar o
limitado a: Configurar tipos de declarao de
Controle de
usurio e dispositivo; implementar alteraes
Acesso Dinmico de poltica e preparo; executar correo de
(DAC)
acesso negado; configurar a classificao
de arquivo
limitado a: Configurar o Destino e Iniciador
Configurar
de iSCSI; configurar o Internet Storage Name
e otimizar o
server (iSNS); implementar o provisionamento
armazenamento
dinmico e o corte; gerenciar o espao livre no
servidor usando Recursos sob Demanda
Contedo do curso
Md 10
Lio
1/2/3/4/5
Md 10 Ex
1/2/3/4
Md 11
Lio
1/2/3/4
Md 11 Ex
1/2/3
Md 2
Lio 2/3
Mod 2 Lab A
Ex 2 e Lab B
Ex 1/2/3/4
Md 3
Lio
1/2/3
Mod 3 Ex
1/2/3/4/5/6
Md 2
Lio 1/3
Mod 2 Lab A
Ex 1
xxvi Sobre este curso
(continuao)

Implementar a continuidade comercial e a recuperao de desastres (18%)
Este objetivo pode incluir, mas no
Md 12
est limitado a: Configurar backups do
Windows Server; configurar o Backups Online
Configurar
do Windows; configurar backups especficos
e gerenciar
de funo; gerenciar configuraes de VSS
backups
usando VSSAdmin; criar instantneos de
Restaurao do Sistema
Md 12
limitado a: Restaurar de backups; executar
uma Restaurao Bare-Metal (BMR); recuperar
servidores usando o Ambiente de Recuperao
Servidor de
do Windows (Win RE) e o modo de segurana;
recuperao
aplicar instantneos de Restaurao do
Sistema; configurar o repositrio de Dados
de Configurao da Inicializao (BCD)
Md 10
Configurar
limitado a: Configurar a Rplica do Hyper-V
a tolerncia a
incluindo Agente de Rplica do Hyper-V e VMs; Md 11
falhas no nvel
definir clusterizao multissite incluindo
do site
configuraes de rede, Quorum e
configuraes de failover
Configurar servios de rede (17%)
Md 1
Implementar
limitado a: Criar e configurar superescopos
uma soluo de
e escopos multicast; implementar o DHCPv6;
Protocolo DHCP
configurar a alta disponibilidade para DHCP
avanada
incluindo failover de DHCP e escopos de
diviso; configurar a Proteo de Nome DHCP
Md 1
limitado a: Configurar a segurana para DNS
incluindo DNSSEC, o Pool de Soquetes de DNS
Implemente
e o bloqueio de cache; configurar o log de
uma soluo DNS
DNS; configurar a administrao delegada;
avanada
configurar a recurso; configurar o
ordenamento de mscara de rede; configurar
uma zona de GlobalNames
Contedo do curso
Lio
1/2/3
Md 12 Ex
1/2/3
Lio
1/2/3
Md 12 Ex
2/3
Lies 1/5
Lio 1/3
Md 11 Ex 1
Lio 1
Md 1 Ex 1
Lio 2
Md 1 Ex 2
Sobre este curso
xxvii
(continuao)

Configurar servios de rede (17%)
limitado a: Configurar o IPAM manualmente
ou usando a Poltica de Grupo; configurar
a descoberta de servidor; criar e gerenciar
Implantar e
blocos de IP e intervalos; monitorar a
gerenciar IPAM
utilizao do espao de Endereo IP; migrar
um IPAM; delegar a administrao de IPAM;
gerenciar colees de IPAM
Configurar a infra-estrutura do Active Directory (18%)
limitado a: Implementar ambientes
multidomnio e multifloresta do Active
Directory incluindo interoperabilidade com
Configurar
verses anteriores do Active Directory;
uma floresta ou
atualizar domnios e florestas existentes
um domnio
incluindo preparao de ambiente e nveis
funcionais; configurar vrios sufixos
de nome UPN)
limitado a: Configurar relaes de confiana
Configurar
externas, de atalho e realm; configurar
relaes de
autenticao da relao de confiana;
confiana
configurar filtragem de SID; configurar
roteamento de sufixo de nome
limitado a: Configurar sites e sub-redes; criar
e configurar links de site; gerenciar cobertura
Configurar sites
de site; gerenciar registro de registros de SRV;
mover controladores de domnio entre sites
limitado a: Configurar a replicao para
Gerenciar o
Controladores de Domnio Somente Leitura
Active Directory
(RODCs); configurar a Poltica de Replicao
e a replicao
de Senha (PRP) para RODCs; monitorar e
de SYSVOL
gerenciar a replicao; atualizar a replicao
de SYSVOL para Replicao DFSR
Contedo do curso
Md 1
Lio 3
Md 1 Ex 3
Md 4
Lio 1/2
Md 4 Ex 1
Md 4
Lio 3
Md 4 Ex
1/2
Md 5
Lio 2/3
Md 5 Ex
1/2/3
Md 5
Lio 1/3
Md 5 Ex 3
xxviii
Sobre este curso
(continuao)

Configurar solues de identidade e acesso (15%)
limitado a: Implementar a autenticao
baseada em declaraes incluindo Relaes
de Confiana de Terceira Parte Confivel;
Implementar
configurar regras de Relao de Confiana
os Servios de
de Provedor de Declaraes; configurar
Federao do
repositrios de atributos incluindo
Active Directory
Active Directory Lightweight Directory Services
2.1 (AD FSv2.1)
(AD LDS); gerenciar certificados do AD FS;
configurar o proxy do AD FS; integrar com
os Servios em Nuvem
Instalar e
limitado a: Instalar uma CA (Autoridade de
configurar os
Certificao) Empresarial; configurar pontos de
AD CS
distribuio de CRL; instalar e configurar o
(Servios de
Respondente Online; implementar a separao
Certificados do
de funo administrativa; configurar o backup
Active Directory)
e a recuperao de CA
limitado a: Gerenciar modelos de certificado;
implementar e gerenciar a implantao, a
validao e a revogao de certificado;
Gerenciar
gerenciar a renovao de certificado; gerenciar
certificados
a inscrio e a renovao de certificado em
computadores e usurios usando Polticas de
Grupo; configurar e gerenciar o arquivamento
e a recuperao de chave
limitado a: Instalar um licenciamento ou
Instalar e
servidor AD RMS de certificado; gerenciar
configurar
o Ponto de Conexo de Servio (SCP) do
Active Directory
AD RMS; gerenciar a implantao de cliente
Rights
do AD RMS; gerenciar Domnios de Usurio
Management
Confiveis; gerenciar Domnios de Publicao
Services
Confiveis; gerenciar suporte Identidade
(AD RMS)
Federada; gerenciar modelos de RMS;
configurar Polticas de Excluso
Contedo do curso
Md 8
Lio
1/2/3/4
Md 8 Ex
1/2/3/4
Md 6
Lio
1/2/4
Mod 6 Lab A
Ex 1/2
Md 6
Lio
3/4/5
Mod 6 Lab B
Ex 1/2/3/4
Md 7
Lio
1/2/3/4
Md 7 Ex
1/2/3/4
Importante: participar deste curso em si no ir prepar-lo para passar em qualquer exame

de certificao associado.
Sobre este curso
xxix
Realizar este curso no garante que voc automaticamente passar em nenhum exame de certificao.
Alm da frequncia a este curso, voc deve ter tambm o seguinte:
Experincia prtica e real extensiva com a implementao, o gerenciamento e a configurao

do Windows Server 2012 Active Directory e uma infraestrutura de rede.
Experincia no provisionamento de infraestrutura e servios avanados em um ambiente

Estudo adicional fora do contedo nesta apostila.
Tambm pode haver um estudo adicional e recursos de preparao, como testes prticos, disponveis
para voc se preparar para este exame. Os detalhes desses materiais esto disponveis na seguinte URL:
Voc deve se familiarizar com o perfil do pblico-alvo e com os pr-requisitos do exame para assegurar
que esteja suficientemente preparado antes de prestar o exame de certificao. O perfil completo
do pblico-alvo para este exame est disponvel na URL:
A tabela de mapeamento do exame/curso descrita acima precisa no momento da impresso, porm
est sujeita a alterao a qualquer momento e a Microsoft no tem nenhuma responsabilidade por
qualquer discrepncia entre a verso publicada aqui e a verso disponvel online, e no fornecer
nenhuma notificao de tais alteraes.
xxx
Sobre este curso
Material do curso
Os seguintes materiais foram includos no seu kit:
Manual do curso: um guia de aprendizado sucinto de sala de aula que fornece informaes tcnicas
essenciais em um formato inteligente e concentrado, que fundamental para uma experincia de
aprendizado efetiva em sala de aula.
Lies: orientam voc pelos objetivos de aprendizagem e fornecem os pontos-chave que

so essenciais para o xito da experincia de aprendizagem em sala de aula.
Laboratrios: fornecem uma plataforma real e prtica para que voc aplique as tcnicas
e os conhecimentos aprendidos em cada mdulo.
Revises e informaes complementares do mdulo: fornecem material de referncia prtico

para incentivar a reteno do conhecimento e das tcnicas.
Gabaritos dos laboratrios: fornecem orientao passo a passo sobre a soluo do laboratrio.
Contedo complementar do curso no site http://www.microsoft.com/learning/companionmoc :

contedo digital fcil de navegar, pesquisvel com recursos online premium integrados que
complementam o Manual do curso.
Mdulos: incluem contedo complementar, como perguntas e respostas, etapas detalhadas

de demonstrao e links de leituras adicionais, para cada lio. Alm disso, eles incluem
perguntas e respostas da Reviso do laboratrio, bem como sees de Revises e informaes
complementares, que contm as perguntas e respostas da reviso, prticas recomendadas,
problemas comuns e dicas de soluo de problemas com respostas, alm de cenrios e
problemas reais com respostas.
Recursos: incluem recursos adicionais bem categorizados que do acesso imediato ao contedo
premium mais recente no TechNet, MSDN ou Microsoft, Press,
Arquivos do Curso para o aluno no site http://www.microsoft.com/learning/companionmoc :

incluem o Allfiles.exe, um arquivo executvel autoextravel que contm todos os arquivos necessrios
para os laboratrios e as demonstraes.
Avaliao do curso: Ao final do curso, voc ter a oportunidade de concluir uma avaliao online
para fornecer comentrios sobre o curso, a instalao de treinamento e o instrutor.
Para fornecer mais comentrios sobre o curso, envie um email para support@mscourseware.com.
Para conhecer o Programa de Certificao da Microsoft, envie um email para
mcphelp@microsoft.com.
Sobre este curso
Ambiente de mquina virtual
Esta seo contm as informaes de configurao do ambiente de sala de aula para oferecer suporte
ao cenrio corporativo do curso.
Configurao da mquina virtual

Neste curso, voc usar o Microsoft Hyper-V para executar os laboratrios.
Importante: ao final de cada laboratrio, feche a mquina virtual e no salve nenhuma
alterao. Para fechar uma mquina virtual sem salvar as alteraes, execute estas etapas:
1.
Na mquina virtual, no menu Ao, clique em Fechar.
2.
Na caixa de dilogo Fechar, na lista O que voc deseja que a mquina virtual faa?, clique
em Desativar e excluir alteraes e clique em OK.
A tabela a seguir mostra a funo de cada mquina virtual usada neste curso:
Mquina virtual
Funo
24412B-LON-DC1/-B
Windows Server 2012

Controlador de domnio no domnio Adatum.com
24412B-LON-CA1
Windows Server 2012

Servidor autnomo
24412B-LON-CL1
Computador cliente Windows 8

Membro do domnio Adatum.com
24412B-LON-CL2

Membro do domnio Adatum.com
24412B-LON-CORE
Windows Server 2012

Servidor membro no domnio Adatum.com
24412B-LON-SVR1/-B
Windows Server 2012

24412B-LON-SVR2
Windows Server 2012

24412B-LON-SVR3
Windows Server 2012

24412B-LON-SVR4
Windows Server 2012

24412B-MUN-CL1

Membro do domnio Treyresearch.net
24412B-MUN-DC1
Windows Server 2012

controlador de domnio no domnio TreyResearch.net
24412B-LON-HOST1
Windows Server 2012

xxxi
xxxii Sobre este curso
(continuao)
Mquina virtual
Funo
24412B-LON-HOST2
Windows Server 2012

24412B-TOR-DC1
Windows Server 2012

MSL-TMG1
Mquina virtual do Microsoft Forefront

Threat Management Gateway (TMG)
Configurao de software
Os seguintes itens de software esto instalados em cada mquina virtual:
Windows Server 2012 Datacenter Edition
Windows 8
Office 2010, Service Pack 1 (SP1)
Arrumao da sala de aula

Cada computador da sala de aula ter a mesma mquina virtual configurada da mesma forma.
Nvel de hardware do curso

Para assegurar uma experincia satisfatria ao aluno, o Microsoft Learning exige uma configurao
mnima de equipamento para os computadores do instrutor e do aluno em todas as salas de aula da CPLS
(Microsoft Certified Partner for Learning Solutions) nas quais os cursos Official Microsoft Learning Product
so ensinados.
Processador Intel VT (Intel Virtualization Technology) ou AMD-V (AMD Virtualization)
Discos rgidos duplos 7200 RM SATA (Serial ATA) de 120 GB ou superior*
Memria de acesso aleatrio (RAM) de 8 GB
Unidade de DVD
Adaptador de rede
Monitor SVGA (Super VGA) de 17 polegadas
Mouse da Microsoft ou dispositivo apontador compatvel
Placa de som com alto-falantes amplificados
*Distribudo
Alm disso, o computador do instrutor deve estar conectado a um dispositivo de projeo compatvel
com SVGA de 1024 x 768 pixels e cores de 16 bits.
Sobre este curso
xxxiii
Navegao no Windows Server 2012

Se voc no estiver familiarizado com a interface do usurio no Windows Server 2012 ou Windows 8,
as informaes a seguir o ajudaro com a nova interface.
Entrar e Sair substituem Fazer Logon e Fazer Logoff.
As Ferramentas Administrativas so encontradas no menu Ferramentas do Gerenciador do Servidor.
Mova o mouse para o canto inferior direito da rea de trabalho para abrir um menu com:
Configuraes: isso inclui Painel de Controle e Energia
Menu Iniciar: isso fornece acesso a alguns aplicativos
Pesquisar: permite procurar aplicativos, configuraes e arquivos
As teclas de atalho a seguir tambm podem ser teis:
Windows: abre o menu Iniciar
Windows+C: abre o mesmo menu que aberto com a movimentao do mouse no canto
inferior direito
Windows+I: Abre Configuraes
Windows+R: Abre a janela Executar
1-1
Mdulo 1
Implementao de servios de rede avanados
Contedo:
Viso geral do mdulo
1-1
Lio 1: Configurao de recursos avanados de DHCP
1-2
Lio 2: Definio das configuraes avanadas de DNS
1-12
Lio 3: Implementao de IPAM
1-24
Laboratrio: Implementao de servios de rede avanados
1-35
Reviso e informaes complementares do mdulo
1-42
Viso geral do mdulo

No Windows Server 2012, os servios de rede, como DNS (Sistema de Nomes de Domnio),
fornecem suporte crtico para a resoluo de nomes de recursos de rede e da Internet. No DNS,
as DNSSEC (Extenses de Segurana DNS) so um recurso avanado que fornece um meio de
proteger respostas de DNS a consultas de cliente de forma que usurios mal-intencionados no
possam falsific-las. Com o DHCP, voc pode gerenciar e distribuir endereos IP a computadores
cliente. DHCP essencial para gerenciar redes baseadas em IP. O failover de DHCP um recurso
avanado que pode impedir que clientes percam o acesso rede no caso de uma falha de
servidor DHCP. O IPAM (Gerenciamento de Endereo IP) fornece um meio unificado de controlar
o endereamento IP.
Este mdulo apresenta melhorias de DNS e DHCP, gerenciamento de endereo IP e fornece detalhes
como sobre implementar esses recursos.
Objetivos
Depois de concluir este mdulo, voc ser capaz de:
Configurar recursos de DHCP avanados.
Definir configuraes de DNS avanadas.
Implemente o IPAM.
1-2
Lio 1
Configurao de recursos avanados de DHCP

O DHCP tem uma importante funo na infraestrutura do sistema operacional Windows Server 2012.
Ele o principal meio de distribuio de informaes importantes sobre configurao de rede para
os clientes da rede, alm de fornecer informaes sobre configurao a outros servios habilitados
para rede, incluindo Servios de Implantao do Windows e NAP (Proteo de Acesso Rede). Para dar
suporte infraestrutura de rede baseada no Windows Server, importante entender a funo do servidor
DHCP. O Windows Server 2012 melhora a funcionalidade de DHCP fornecendo recursos de failover.
Objetivos da lio
Depois de concluir esta lio, voc ser capaz de:
Descrever os componentes do DHCP.
Explicar como configurar a interao do DHCP com o DNS.
Explicar como configurar designs de escopo DHCP avanados.
Explicar como o DHCP funciona com IPv6.
Descrever a proteo de nome DHCP.
Descrever o failover de DHCP.
Explicar como configurar o failover de DHCP.
Viso geral dos componentes de DHCP

O DHCP uma funo de servidor que pode
ser instalada no Windows Server 2012. Com a
funo de servidor DHCP, voc pode assegurar
que todos os clientes tenham endereos IP e
informaes de configurao de rede apropriados,
o que pode ajudar a eliminar o erro humano
durante a configurao. Um cliente DHCP
qualquer dispositivo que est executando
o software cliente DHCP e que pode solicitar
e recuperar configuraes de rede de um servio
de servidor DHCP. Os clientes DHCP podem ser
computadores, dispositivos mveis, impressoras
ou comutadores. O DHCP tambm pode fornecer informaes de endereo IP para clientes
de inicializao de rede.
1-3
Quando as principais informaes de configurao de rede so alteradas na rede (como o endereo de

gateway padro), voc pode atualizar a configurao usando a funo de servidor DHCP sem ter que
modificar as informaes diretamente em cada computador. O DHCP tambm um servio importante
para usurios mveis que mudam de rede com frequncia. Voc pode instalar a funo de servidor
DHCP em um servidor autnomo, um servidor de membros de domnio ou um controlador de domnio.
O DHCP consiste nos componentes que so listados na tabela a seguir.
Componente
Servio do
servidor DHCP
Escopos DHCP
Descrio
Depois de instalar a funo de DHCP, o servidor DHCP implementado como
um servio. Esse servio pode distribuir endereos IP e outras informaes
de configurao de rede a clientes que fazem esse tipo de solicitao.
O administrador de DHCP configura o intervalo de endereos IP e
informaes relacionadas que alocado ao servidor para distribuio
para clientes que fazem a solicitao. Cada escopo s pode ser associado
a uma nica sub-rede IP. Um escopo deve consistir em:
Nome e descrio
Um intervalo de endereos que podem ser distribudos
Uma mscara de sub-rede
Um escopo tambm pode definir:
Endereos IP que devem ser excludos da distribuio
A durao da concesso do endereo IP
Opes de DHCP
Voc pode configurar um nico servidor DHCP com vrios escopos, mas
o servidor deve ser conectado diretamente a cada sub-rede que serve ou
ter um agente de retransmisso DHCP em vigor. Os escopos tambm so
a maneira principal para o servidor gerenciar e distribuir qualquer parmetro
de configurao relacionado (opes de DHCP) a clientes na rede.
Opes de DHCP
Quando voc atribui o endereo IP ao cliente, tambm pode atribuir

simultaneamente muitos outros parmetros de configurao de rede.
As opes de DHCP mais comuns incluem:
Endereo IP de gateway padro
Endereo IP do servidor DNS
Sufixo do domnio DNS
Endereo IP do servidor WINS
possvel aplicar as opes em nveis diferentes. Elas podem ser aplicadas
do seguinte modo:
Globalmente a todos os escopos
Especificamente a escopos determinados
A clientes especficos de acordo com um valor de ID de classe
A clientes que tm reservas especficas de endereo IP configuradas
Observao: Escopos de IPv6 so ligeiramente diferentes e sero
discutidos posteriormente nesta lio.
1-4
(continuao)
Componente
Descrio
Banco de
dados DHCP
O banco de dados do DHCP contm dados de configurao sobre o servidor

DHCP e armazena informaes sobre os endereos IP que foram distribudos.
Por padro, os arquivos de banco de dados do DHCP so armazenados na
pasta %systemroot%\System32\Dhcp.
Console DHCP
O console DHCP a principal ferramenta administrativa para gerenciar todos

os aspectos do servidor DHCP. Este console de gerenciamento instalado
automaticamente em qualquer servidor que tem a funo de DHCP instalada.
Porm, voc tambm pode instal-lo em um servidor remoto ou cliente
Windows 8 usando o RSAT (Ferramentas de Administrao de Servidor
Remoto) e conectando ao servidor DHCP para gerenciamento remoto.
Como clientes adquirem endereos IP

Quando voc configurar um sistema operacional cliente Windows para usar o servio DHCP, durante
a inicializao, o cliente usar uma difuso de IP em sua sub-rede para solicitar a configurao de IP
de qualquer servidor DHCP que possa receber a solicitao. Como DHCP usa difuses de IP para
iniciar comunicaes, os servidores DHCP so limitados comunicao dentro de suas sub-redes IP.
Isto significa que deve haver um servidor DHCP em cada sub-rede IP ou um agente de retransmisso
DHCP configurado na sub-rede remota. O servio de retransmisso DHCP pode retransmitir pacotes
de difuso DHCP como mensagens dirigidas em outras sub-redes IP por um roteador. O agente de
retransmisso adquire uma configurao de endereo IP em nome do cliente que faz a solicitao
na sub-rede remota e ento encaminha essa configurao ao cliente.
Concesses de DHCP
O DHCP aloca endereos IP em um processo dinmico. Isso conhecido como concesso. Voc pode
configurar a durao da concesso. O tempo de concesso padro para clientes com fio de oito dias.
Quando a concesso do DHCP atingir 50% do tempo de concesso, o cliente tentar renovar a
concesso. Esse processo automtico ocorre em segundo plano. Os computadores podem ter o mesmo
endereo IP por um longo perodo se operarem continuamente em uma rede sem serem desligados.
Os computadores cliente tambm tentam fazer a renovao durante o processo de inicializao.
Autorizao de Servidor DHCP

Se o servidor for um membro de domnio, voc dever autorizar a funo de servidor DHCP do
Windows Server 2012 no AD DS (Servios de Domnio do Active Directory) antes de comear a
conceder endereos IP. Voc deve ser Administrador Corporativo para autorizar o servidor DHCP.
Servidores da Microsoft autnomos verificam se h um servidor DHCP na rede e, nesse caso,
no iniciaro o servio DHCP.
1-5
Configurao da interao de DHCP com DNS

Durante a alocao dinmica de endereo IP,
o servidor DHCP cria registros de recurso
automaticamente para clientes DHCP no banco
de dados de DNS. Porm, esses registros no
podem ser excludos automaticamente quando
a concesso do DHCP cliente expira. Voc pode
configurar opes de DHCP para permitir
que o servidor DHCP possua e controle
completamente a criao e excluso desses
registros de recurso DNS.
Configurao da opo de DHCP 081

Voc pode configurar a opo de DHCP 081 para
controlar o modo como so atualizados os registros de recurso no banco de dados de DNS. Esta opo
permite ao cliente fornecer seu FQDN (nome de domnio totalmente qualificado) e instrues ao servidor
DHCP sobre como gostaria que o servidor processasse atualizaes dinmicas de DNS. Voc configura
a opo 081 na guia DNS da caixa de dilogo Propriedades para o n de protocolo, ou por escopo
no console DHCP. Voc tambm pode configurar o DHCP para executar atualizaes para seus clientes
para qualquer servidor DNS que suporta atualizaes dinmicas.
Por padro, o servidor DHCP se comporta da seguinte maneira:
O servidor DHCP atualiza dinamicamente os registros de recurso de host de endereo de DNS (A)
e os registros de recurso de ponteiro (PTR) s se solicitado pelos clientes DHCP. Por padro,
o cliente solicita que o servidor DHCP registre o registro de recurso de ponteiro do DNS (PTR),
enquanto o cliente registra seu prprio registro de recurso de host de DNS (A).
O servidor DHCP descarta os registros de recurso de host (A) e de ponteiro (PTR) quando
a concesso do cliente excluda.
Voc pode modificar essa opo de forma que instrua o servidor DHCP a sempre atualizar dinamicamente
os registros de recurso de host de DNS (A) e de ponteiro (PTR), independentemente das solicitaes do
cliente. Desse modo, o servidor DHCP se torna o proprietrio do registro de recurso porque o servidor
DHCP executou o registro dos registros de recurso. Quando o servidor DHCP se torna o proprietrio dos
registros de recurso de host (A) e de ponteiro (PTR) do computador cliente, s esse servidor DHCP pode
atualizar os registros de recurso de DNS para o computador cliente com base na durao e renovao
da concesso do DHCP.
1-6
Configurao de designs avanados de escopo DHCP

Voc pode configurar designs avanados
de escopo DHCP chamados superescopos.
Um superescopo uma coleo de escopos
individuais que so agrupados para fins
administrativos. Isso permite que os
computadores cliente recebam um endereo IP de
vrias
sub-redes lgicas, at mesmo quando os clientes
estiverem localizados na mesma sub-rede fsica.
Voc s poder criar um superescopo se j tiver
dois ou mais escopos de IP criados no DHCP.
Voc pode usar o Assistente para Novos
Superescopos para selecionar os escopos que deseja combinar para criar um superescopo.
Benefcios dos superescopos

Um superescopo til em vrias situaes. Por exemplo, se um escopo esgotar endereos e no for
possvel adicionar mais endereos de uma sub-rede, voc poder adicionar uma nova sub-rede ao
servidor DHCP. Esse escopo conceder endereos aos clientes na mesma rede fsica, mas os clientes
ficaro em uma rede separada logicamente. Esse processo conhecido como multinetting. Depois
de adicionar uma nova sub-rede, configure os roteadores para reconhecer a nova sub-rede a fim
de garantir comunicaes locais na rede fsica.
Um superescopo tambm til quando h a necessidade de mover clientes gradualmente para um
novo esquema de numerao IP. Ter dois esquemas de numerao para a durao da concesso
original indica que possvel mover os clientes para a nova sub-rede de maneira transparente.
Ao renovar todas as concesses de cliente na nova sub-rede, voc poder aposentar a antiga.
Escopos do multicast
Um escopo do multicast uma coleo de endereos multicast do intervalo de endereos IP de classe D,
de 224.0.0.0 a 239.255.255.255 (224.0.0.0/3). Esses endereos so usados quando os aplicativos precisam
se comunicar eficientemente com vrios clientes ao mesmo tempo. Isso feito com vrios hosts que
escutam o trfego para obter o mesmo endereo IP.
Um escopo do multicast geralmente conhecido como um escopo MADCAP (Multicast Address Dynamic
Client Allocation Protocol). Os aplicativos que solicitarem endereos desses escopos devero oferecer
suporte API (interface de programao de aplicativos) do MADCAP. Servios de Implantao
do Windows um exemplo de um aplicativo que suporta transmisses de multicast.
Os escopos do multicast permitem que os aplicativos reservem um endereo IP de multicast
para fornecimento de dados e contedo.
1-7
Integrao do DHCP com IPv6

O IPv6 pode se configurar sem DHCP. Clientes
habilitados para IPv6 tm um endereo IPv6
de link-local atribudo automaticamente.
Um endereo de link-local s deve ser usado
para comunicaes dentro da rede local.
equivalente aos endereos 169.254.0.0
atribudos automaticamente usados por IPv4.
As interfaces de rede habilitadas para IPv6
podem ter, e frequentemente tm, mais de
um endereo IPv6. Por exemplo, os endereos
podem incluir um endereo de link-local atribudo
automaticamente e um endereo global atribudo
pelo DHCP. Usando o DHCP para IPv6 (DHCPv6), um host IPv6 pode obter prefixos de sub-rede,
endereos globais e outros parmetros de configurao de IPv6.
Observao: Voc deve obter um bloco de endereos IPv6 de um Registro
de Internet Regional. H cinco registros de Internet regionais no mundo. So eles:
AfriNIC (Centro de Informaes de Rede Africano) para a frica
APNIC (Centro de Informaes de Rede da sia-Pacfico) para sia, Austrlia, Nova Zelndia
e pases vizinhos
ARIN (Registro Americano para Nmeros de Internet) para Canad, muitas ilhas do Caribe
e do Atlntico Norte e os Estados Unidos
LACNIC (Centro de Informaes de Rede da Amrica Latina e Caribe) para a Amrica Latina
e partes da regio caribenha
RIPE NCC (Centro de Coordenao de Rede Rseaux IP Europens) para Europa, Rssia,
Oriente Mdio e sia Central
Configurao com e sem estado

Sempre que adiciona a funo de servidor DHCP a um computador Windows Server 2012, voc tambm
instala um servidor DHCPv6 automaticamente. O Windows Server 2012 suporta configuraes DHCPv6
com e sem estado:
Configurao com estado. Ocorre quando o servidor DHCPv6 atribui o endereo IPv6 ao cliente
juntamente com os dados adicionais do DHCP.
Configurao sem fio. Ocorre quando o IPv6 atribudo automaticamente pelo roteador de sub-rede
e quando o servidor DHCPv6 atribui somente outras definies de configurao do DHCP.
1-8
Escopos DHCPv6 para IPv6

Os escopos DHCPv6 para IPv6 devem ser criados separadamente de escopos de IPv4. Escopos de IPv6
tm um mecanismo de concesso aprimorado e vrias opes diferentes. Ao configurar um escopo
do DHCPv6, voc deve definir as propriedades listadas na tabela a seguir.
Propriedade
Uso
Nome e descrio
Esta propriedade identifica o escopo.
Prefixo
O prefixo de endereo IPv6 anlogo ao intervalo de endereos IPv4.

Define a parte de rede do endereo IP.
Preferncia
Esta propriedade informa aos clientes de DHCPv6 qual servidor deve

ser usado se houver vrios servidores DHCPv6.
Excluses
Esta propriedade define endereos nicos ou blocos de endereos

que esto dentro do prefixo IPv6, mas que no sero oferecidos
para concesso.
Tempos de vida
vlidos e preferenciais
Esta propriedade define por quanto tempo os endereos concedidos

sero vlidos.
Opes de DHCP
Assim como com IPv4, existem muitas opes disponveis.
Configurao de um escopo IPv6

Voc pode usar o Assistente para Novos Escopos para criar escopos IPv6:
1.
No console DHCP, clique com o boto direito no n IPv6 e clique em Novo Escopo.
2.
Configure um prefixo e preferncia de escopo.
3.
Defina os endereos IP inicial e final e as excluses.
4.
Configure as propriedades de vida til Preferido e Vlido.
5.
Ative o escopo para ativ-lo.
O que proteo de nome DHCP?

Voc deve proteger os nomes o DHCP registra
em DNS em nome de outros computadores
ou sistemas contra substituio por sistemas
operacionais no Windows que usam os mesmos
nomes. Alm disso, voc tambm deve proteger
os nomes contra substituio por sistemas que
usam endereos estticos que esto em conflito
com endereos atribudos pelo DHCP quando
eles usam o DNS no seguro, e o DHCP no
configurado para deteces de conflito.
Por exemplo, um sistema baseado em UNIX
chamado Client1 poderia substituir o endereo
DNS que foi atribudo e registrado por DHCP em nome de um sistema baseado no Windows tambm
chamado Client1. Um novo recurso no Windows Server 2012, Proteo de Nome DHCP, resolve
esse problema.
1-9
Acocoramento de nome o termo usado para descrever o conflito que ocorre quando um cliente registra
um nome com DNS, mas esse nome j usado por outro cliente. Esse problema faz com que a mquina
original fique inacessvel e ocorre normalmente com sistemas que tm os mesmos nomes de sistemas
operacionais Windows. A Proteo de Nome DHCP resolve isso usando um registro de recurso conhecido
como DHCID (Identificador de Configurao de Host Dinmico) para acompanhar quais mquinas
solicitaram quais nomes originalmente. O servidor DHCP fornece o registro de DHCID, que armazenado
em DNS. Quando o servidor DHCP recebe uma solicitao de uma mquina com um nome existente
para um endereo IP, o servidor DHCP pode recorrer ao DHCID em DNS verificar se a mquina que
est pedindo o nome a mquina original que usou o nome. Se no for a mesma mquina, o registro
de recurso DNS no ser atualizado.
Voc pode implementar a proteo de nome para IPv4 e IPv6. Alm disso, voc pode configurar
a Proteo de Nome DHCP no nvel do servidor e no nvel do escopo. A implementao no nvel
do servidor s se aplicar a escopos criados recentemente.
Para ativar a Proteo de Nome DHCP para um n IPv4 ou IPv6:
1.
Abra o console do DHCP.
2.
Clique com o boto direito do mouse no n IPv4 ou IPv6 e abra a pgina Propriedade.
3.
Clique em DNS, clique em Avanado e marque a caixa de seleo Habilitar Proteo de Nome.
Para habilitar a Proteo de Nome DHCP para um escopo:

1.
Abra o MMC (Console de Gerenciamento Microsoft) do DHCP.
2.
Expanda o n IPv4 ou IPv6, clique com o boto direito no escopo e abra a pgina Propriedade.
3.
Clique em DNS, clique em Avanado e marque a caixa de seleo Habilitar Proteo de Nome.
O que failover de DHCP?

O DHCP gerencia a distribuio de endereos IP
em redes TCP/IP de todos os tamanhos.
Quando esse servio falha, os clientes perdem
conectividade rede e todos os seus recursos.
Um novo recurso no Windows Server 2012,
failover de DHCP, resolve esse problema.
Failover de DHCP
Os clientes DHCP renovam suas concesses
nos endereos IP em intervalos regulares
configurveis. Quando o servio DHCP falha,
o tempo limite de concesses atingido e
os clientes j no tm endereos IP. No passado,
o failover de DHCP no era permitido porque os servidores DHCP eram independentes e no se
reconheciam. Portanto, configurar dois servidores DHCP separados para distribuir o mesmo pool de
endereos podia levar a endereos duplicados. Adicionalmente, fornecer servios DHCP redundantes
exigia que voc configurasse clusters e executasse uma quantidade significativa de configurao
manual e monitoramento.
1-10 Implementao de servios de rede avanados
O novo recurso Failover de DHCP permite que dois servidores DHCP forneam endereos IP
e configuraes opcionais s mesmas sub-redes ou escopos. Portanto, voc pode configurar
dois servidores DHCP para replicar informaes de concesso. Se um dos servidores falhar,
o outro servidor atender os clientes da sub-rede inteira.
Observao: No Windows Server 2012, voc pode configurar s dois servidores DHCP
para failover e s para escopos e sub-redes de IPv4.
Configurao de failover de DHCP

Para configurar o failover de DHCP, voc precisa estabelecer uma relao de failover entre os dois
servios de servidores DHCP. Voc tambm tem que dar para essa relao um nome exclusivo. Os
parceiros de failover trocam esse nome durante a configurao. Isso permite que um nico servidor
DHCP tenha vrias relaes de failover com outros servidores DHCP, contanto que todos tenham
nomes exclusivos. Para configurar failover, use o Assistente de Configurao de Failover que voc
pode iniciar clicando com o boto direito no n de IP ou no n do escopo.
Observao: O failover de DHCP se baseia na hora. Voc deve sincronizar a hora entre os
parceiros na relao. Se a diferena de hora for maior que um minuto, o processo de failover ser
paralisado com um erro crtico.
Voc pode configurar o failover de um dos dois modos a seguir.
Modo
Caractersticas
Espera ativa
Neste modo, um servidor o servidor primrio e o outro o servidor

secundrio. O servidor primrio atribui configuraes de IP ativamente
para o escopo ou sub-rede. O servidor DHCP secundrio s assumir essa
funo se o servidor primrio ficar indisponvel. Um servidor DHCP pode
agir simultaneamente como primrio para um escopo ou sub-rede, e ser o
secundrio para outro. Os administradores devem configurar um percentual
dos endereos de escopo a serem atribudos ao servidor em espera. Esses
endereos sero fornecidos durante o intervalo de MCLT (Prazo de Entrega
Mximo do Cliente) se o servidor primrio estiver desligado. O valor padro
de MCLT 5% do escopo. O servidor secundrio assume o controle do
intervalo de IP inteiro depois que o intervalo de MCLT termina.
O modo Espera ativa mais adequado para implantaes nas quais um site de
recuperao de desastres est localizado em um local diferente. Desse modo,
o servidor DHCP no atender clientes a menos que haja uma interrupo do
servidor principal.
Compartilhamento
de carga
Este o modo padro. Nesse modo, ambos os servidores fornecem

configurao de IP simultaneamente aos clientes. O servidor que responde
a solicitaes de configurao de IP depende de como o administrador
configura a taxa de distribuio de carga. A taxa padro 50:50.
MCLT
O administrador configura o parmetro MCLT para determinar a quantidade de tempo que um servidor
DHCP deve esperar quando um parceiro est indisponvel, antes de assumir o controle do intervalo
de endereos. Esse valor no pode ser zero e o padro uma hora.
1-11
Intervalo de alternncia automtica de estado

Um estado de comunicao interrompida ocorre quando um servidor perde contato com seu parceiro.
Como o servidor no tem nenhum modo de saber o que est causando a perda de comunicao,
permanece nesse estado at o administrador alter-lo manualmente para um estado de desativao
de parceiro. O administrador tambm pode habilitar a transio automtica para o estado de desativao
de parceiro configurando o intervalo de alternncia automtica de estado. O valor padro desse intervalo
10 minutos.
Autenticao de mensagens
O Windows Server 2012 permite autenticar o trfego de mensagem de failover entre os parceiros
de replicao. O administrador pode estabelecer um segredo compartilhado, como uma senha,
no Assistente de Configurao de Failover para failover de DHCP. Isso confirma que a mensagem
de failover vem do parceiro de failover.
Consideraes de firewall
O DHCP usa a porta TCP 647 para escutar o trfego de failover. A instalao de DHCP cria as seguintes
regras de firewall de entrada e de sada:
Microsoft-Windows-DHCP-Failover-TCP-In
Microsoft-Windows-DHCP-Failover-TCP-Out
Demonstrao: Configurao de failover de DHCP

Nesta demonstrao, voc ver como configurar uma relao de failover de DHCP.
Etapas da demonstrao
Configure uma relao de failover de DHCP
1.
Entre em LON-SVR1 como Adatum\Administrador com uma senha Pa$$w0rd. Observe

que o servidor autorizado, mas que nenhum escopo configurado.
2.
Alterne para LON-DC1. No Gerenciador do Servidor, clique em Ferramentas e, na lista suspensa,

clique em DHCP.
3.
No console DHCP, inicie o Assistente de Configurao de Failover.
4.
Configure uma replicao de failover com as seguintes definies:

o
Servidor de parceiro: 172.16.0.21
Nome da relao: Adatum
Prazo de Entrega Mximo do Cliente: 15 minutos
Modo: Balancear carga
Percentual de balanceamento de carga: 50%
Intervalo de alternncia de estado: 60 minutos
Segredo compartilhado de autenticao de mensagem: Pa$$w0rd
5.
Conclua o Assistente de Configurao de Failover.
6.
Volte a LON-SVR1 e observe que o n IPv4 ativo e o escopo Adatum configurado.
Lio 2
Definio das configuraes avanadas de DNS

Em redes TCP/IP de qualquer tamanho, alguns servios so essenciais. DNS um dos servios de rede
mais crticos para qualquer rede, pois muitos outros aplicativos e services, incluindo AD DS, usam o
DNS para resolver nomes de recursos a endereos IP. Sem DNS, as autenticaes de usurio falham
e os recursos e aplicativos baseados em rede podem ficar inacessveis. Para que isso funcione, voc
precisa gerenciar e proteger o DNS. Esta lio discute tcnicas de gerenciamento e opes para
otimizar a resoluo de DNS. O Windows Server 2012 implementa DNSSEC para proteger respostas
de DNS. O Windows Server 2012 tambm suporta zonas de nome globais para fornecer resoluo
de nome de rtulo nico.
Objetivos da lio
Gerenciar servios de DNS.
Otimizar a resoluo de nomes DNS.
Descrever zonas de nome globais.
Descrever opes para implementar a segurana de DNS.
Explicar como funciona o DNSSEC.
Descrever os novos recursos DNSSEC para Windows Server 2012.
Explicar como configurar o DNSSEC.
Gerenciamento de servios de DNS

Assim como outros servios de rede importantes,
voc deve gerenciar o DNS. O gerenciamento
de DNS consiste nas seguintes tarefas:
Delegao da administrao de DNS
Configurao de logs do DNS
Durao e eliminao
Backup do banco de dados DNS
Delegao da administrao de DNS

Por padro, o grupo Administradores de
Domnio tem permisses totais para gerenciar
todos os aspectos do servidor DNS em seu domnio de incio e o grupo Administradores da Empresa tem
permisses totais para gerenciar todos os aspectos de todos os servidores DNS em qualquer domnio na
floresta. Se voc precisar delegar a administrao de um servidor DNS a um usurio ou grupo diferente,
poder acrescentar esse usurio ou grupo global ao grupo Administradores de DNS para um determinado
domnio na floresta. Os membros do grupo Administradores de DNS podem exibir e podem modificar
todos os dados de DNS, configuraes e configuraes de servidores DNS em seu domnio de incio.
O grupo Administradores de DNS um grupo de segurana Domnio Local e, por padro, no tem
nenhum membro.
1-13
Configurao de logs do DNS

Por padro, o DNS mantm um log de servidor DNS que voc pode exibir no Visualizador de Eventos.
Esse log de eventos est localizado na pasta Logs de Aplicativos e Servios em Visualizador de Eventos.
Registra eventos comuns como:
Incio e parada do servio de DNS.
Carregamento em segundo plano e eventos de assinatura de zona.
Alteraes nas configuraes do DNS.
Vrios avisos e eventos de erro.
Para obter logs mais detalhados, voc pode habilitar os logs de depurao. As opes de log
de depurao so desabilitadas por padro, mas podem ser habilitadas seletivamente. As opes
de log de depurao incluem o seguinte:
Direo de pacotes
Contedo dos pacotes
Protocolo de transporte
Tipo de solicitao
Filtragem com base no endereo IP
Especificao de nome e local do arquivo de log, que est localizado no diretrio

%windir%\System32\DNS
Limite de tamanho mximo do arquivo de log
O log de depurao pode usar muitos recursos. Pode afetar o desempenho do servidor global
e pode consumir espao em disco. Portanto, ele s dever ser ativado temporariamente, quando
forem necessrias informaes mais detalhadas sobre o desempenho do servidor. Para habilitar
as opes do log de depurao no servidor DNS, faa o seguinte:
1.
Abra o console do DNS.
2.
Clique com o boto direito do mouse do mouse no servidor DNS aplicvel e clique em
Propriedades.
3.
Na caixa de dilogo Propriedades, clique na guia Log de Depurao.
4.
Selecione Pacotes de log para depurar e selecione os eventos para os quais voc deseja
que o servidor DNS registre o log de depurao.
Durao e eliminao
As atualizaes dinmicas de DNS acrescentam registros de recurso automaticamente zona, mas em
alguns casos esses registros no so excludos automaticamente quando no so mais necessrios. Por
exemplo, se um computador registrar seu prprio registro de recurso de host (A) e for desconectado da
rede de forma inadequada, possvel que esse registro no seja excludo. Esses registros, conhecidos
como registros obsoletos, ocupam espao no banco de dados de DNS e podem resultar no retorno de
uma resposta de consulta incorreta. O Windows Server 2012 pode procurar esses registros obsoletos
e, com base na durao do registro, elimin-los do banco de dados de DNS.
A durao e eliminao so desabilitadas por padro. Voc pode habilitar a durao e eliminao nas
propriedades Avanadas do servidor DNS ou pode habilitar isso para zonas selecionadas na janela
Propriedades da zona.
A durao determinada usando parmetros conhecidos como Intervalo de atualizao e Intervalo sem
atualizao. O Intervalo de atualizao a data e hora que o registro est qualificado para ser atualizado
pelo cliente. O padro sete dias. O Intervalo sem atualizao o perodo que o registro no est
qualificado para ser atualizado. Por padro, equivale a sete dias. No curso normal de eventos, um registro
do host de cliente no pode ser atualizado no banco de dados durante sete dias depois de ser registrado
ou atualizado. Porm, deve ser atualizado nos prximos sete dias depois do intervalo sem atualizao,
ou o registro ficar qualificado para ser eliminado do banco de dados. Um cliente tentar atualizar
seu registro de DNS na inicializao, e a cada 24 horas enquanto o sistema estiver em execuo.
Observao: Os registros que so adicionados dinamicamente ao banco de dados
possuem um carimbo de data/hora. Os registros estticos nos que voc entra manualmente
tm um valor de carimbo de data/hora igual a zero 0; portanto, eles no sero afetados pela
durao e no sero eliminados do banco de dados.
Backup do banco de dados DNS

O modo como voc faz backup do banco de dados de DNS depende de como o DNS foi implementado
em sua organizao. Se sua zona DNS tiver sido implementada como uma zona integrada do
Active Directory, sua zona DNS ser includa no arquivo ntds.dit do banco de dados do Active Directory.
Se a zona DNS for uma zona primria e no for armazenada no AD DS, o arquivo ser armazenado
como um arquivo .dns na pasta %SystemRoot%\System32\Dns.
Backup de zonas integradas ao Active Directory

As zonas integradas ao Active Directory so armazenadas no AD DS e o backup feito como parte
de um Estado do Sistema ou um backup completo de servidor. Alm disso, voc pode fazer backup
apenas da zona integrada ao Active Directory usando a ferramenta de linha de comando dnscmd.
Para fazer backup de uma zona integrada ao Active Directory, execute as seguinte etapas:
1.
Inicie um prompt de comando com privilgios elevados.
2.
Execute o seguinte comando:

dnscmd /ZoneExport <nome da zona> <nome de arquivo de zona>
onde <nome da zona> o nome de sua zona DNS e <nome de arquivo de zona> o arquivo que
voc deseja criar para conter as informaes de backup.
A ferramenta dnscmd exporta os dados de zona para o nome do arquivo que voc designa no comando,
para o diretrio %windir%\System32\DNS.
Voc tambm pode usar o Windows PowerShell para executar a mesma tarefa. No Windows PowerShell,
voc usa o cmdlet Export-DnsServerZone. Por exemplo, se voc desejar exportar uma zona chamada
contoso.com, digite o comando a seguir:
Export-DnsServerZone Name contoso.com Filename contoso
1-15
Backup de zonas primrias

Fazer backup de uma zona primria que no armazenada no AD DS simplesmente uma questo de
copiar ou fazer backup do arquivo de zona individual, zonename.dns, que est localizado no diretrio
%windir%\System32\DNS. Por exemplo, se sua zona primria de DNS for chamada Adatum.com,
o arquivo de zona DNS ser chamado Adatum.com.dns.
Otimizao da resoluo de nomes DNS

Em um evento de consulta DNS tpico, um
computador cliente tenta resolver um FQDN
a um endereo IP. Por exemplo, se um usurio
tentar ir para o FQDN www.microsoft.com,
o computador cliente executar uma consulta
recursiva ao servidor DNS que est configurado
para descobrir o endereo IP associado a esse
FQDN. O servidor DNS local deve responder
com uma resposta autorizada. Se o servidor
DNS local tiver uma cpia da zona DNS para a
qual foi consultado, responder com uma
resposta autorizada ao computador cliente. Se o
servidor DNS local no tiver essas informaes, executar a recurso.
Recurso se refere ao processo de fazer com que o prprio servidor DNS local faa uma consulta recursiva
a outro servidor DNS at encontrar a resposta autorizada e, ento, retornar essa resposta ao cliente que
fez a solicitao original. Por padro, esse servidor ser um dos servidores na Internet listados como
uma dica de raiz. Quando o servidor DNS local receber uma resposta, retornar essas informaes ao
computador cliente da solicitao original.
H vrias opes disponveis para otimizar a resoluo de nomes DNS. Elas incluem recursos como:
Encaminhamento
Encaminhamento condicional
Zonas de stub
Ordenao de mscara de rede
Encaminhamento
Um encaminhador um servidor DNS de rede que voc configura para encaminhar consultas de
DNS para nomes de host que no pode resolver para outros servidores DNS para resoluo. Em um
ambiente tpico, o servidor DNS interno encaminha consultas para nomes de host DNS externos a
servidores DNS na Internet. Por exemplo, se o servidor DNS de rede local no puder resolver uma
consulta autoritariamente para www.microsoft.com, o servidor DNS local poder encaminhar a
consulta ao servidor DNS do ISP (provedor de servios de Internet) para resoluo.
Encaminhamento condicional
Voc tambm pode usar encaminhadores condicionais para encaminhar consultas de acordo com
nomes de domnios especficos. Um encaminhador condicional uma configurao que voc define
em um servidor DNS que permite o encaminhamento de consultas de DNS com base no nome de
domnio DNS da consulta. Por exemplo, voc pode configurar um servidor DNS para encaminhar todas
as consultas por ele recebidas sobre nomes que terminam com corp.adatum.com para o endereo IP
de um servidor DNS especfico ou para os endereos IP de vrios servidores DNS. Isso pode ser til
quando voc tem vrios namespaces DNS em uma floresta. Por exemplo, suponha que Contoso.com
e Adatum.com so mesclados. Em vez de cada domnio ter que hospedar uma rplica completa do
banco de dados de DNS do outro domnio, voc pode criar encaminhadores condicionais de forma
que eles apontem aos servidores DNS especficos um do outro para resoluo de nomes DNS internos.
Zonas de stub
Uma zona de stub a cpia de uma zona que contm apenas os registros de recursos necessrios
para identificar os servidores DNS autoritativos dessa zona. Uma zona de stub resolve nomes entre
namespaces DNS separados, o que pode ser necessrio quando voc deseja que um servidor DNS
que est hospedando uma zona pai continue reconhecendo todos os servidores DNS autorizados para
uma de suas zonas filho. Uma zona de stub hospedada em um servidor DNS de domnio pai receber
uma lista de todos os novos servidores DNS da zona filho, quando solicita uma atualizao do servidor
mestre da zona de stub. Usando esse mtodo, o servidor DNS que hospeda a zona pai mantm uma lista
atualizada dos servidores DNS autoritativos para a zona filho conforme eles so adicionados e removidos.
Uma zona de stub apresenta:
Registro de recurso de SOA (incio de autoridade) da zona delegada, registros de recurso NS

(servidor de nome) e registros de recurso de host (A).
O endereo IP de um ou mais servidores mestres que podem ser usados para atualizar a zona
de stub.
As zonas de stub tm as seguintes caractersticas:
Voc cria zonas de stub usando o Assistente de Nova Zona.
Voc pode armazenar zonas de stub no AD DS.
Voc pode replicar zonas de stub s no domnio ou ao longo da floresta inteira.
Servidores mestre de zona de stub so um ou mais servidores DNS responsveis pela cpia inicial
das informaes da zona e geralmente so o servidor DNS que hospeda a zona primria do nome
do domnio delegado.
Ordenao de mscara de rede

A ordenao de mscara de rede retorna endereos para consultas de DNS de registros de endereo tipo
A (registro A) que priorizam recursos na sub-rede local do computador cliente para o cliente. Em outras
palavras, endereos de hosts que esto na mesma sub-rede do cliente solicitante tero uma prioridade
mais alta na resposta de DNS para o computador cliente.
A localizao baseada em endereos IP. Por exemplo, se houver vrios registros A associados ao
mesmo nome DNS, e cada registro A estiver localizado em uma sub-rede de IP diferente, a ordenao
de mscara de rede retornar um registro A que est na mesma sub-rede de IP do computador cliente
que fez a solicitao.
1-17
O que a zona GlobalNames?

O Servio Servidor DNS no Windows Server 2012
fornece a zona GlobalNames, que pode ser usada
para conter os nomes de rtulo nico que so
exclusivos em uma floresta inteira. Isso elimina
a necessidade de usar o WINS baseado em
NetBIOS para dar suporte a nomes de rtulo
nico. As zonas GlobalNames fornecem resoluo
de nome de rtulo nico para redes de grandes
empresas que no implantam o WINS e tm
vrios ambientes de domnio DNS. As zonas
GlobalNames so criadas manualmente e
no suportam registro de registro dinmico.
Quando os clientes tentam resolver nomes curtos, eles acrescentam seu nome de domnio DNS
automaticamente. Dependendo da configurao, eles tambm tentam localizar o nome no nome
de domnio de nvel superior ou procuram na lista de sufixos de nome. Portanto, nomes curtos so
resolvidos no mesmo domnio.
Voc usa uma zona GlobalNames para manter uma lista de sufixos de pesquisa DNS para resolver nomes
entre vrios ambientes de domnio DNS. Por exemplo, se uma organizao suportar dois domnios DNS,
como adatum.com e contoso.com, os usurios no domnio DNS adatum.com precisaro usar um FQDN
como data.contoso.com para localizar os servidores em contoso.com. Caso contrrio, o administrador
do domnio precisa adicionar um sufixo de pesquisa DNS para contoso.com em todos os sistemas
no domnio adatum.com. Se os clientes procurarem o nome de servidor data, a pesquisa falhar.
Os nomes globais se baseiam em registros de recurso de criao de alias (CNAME) em uma zona
de pesquisa direta especial que usa nomes nicos para apontar a FQDNs. Por exemplo, as zonas
GlobalNames permitem que clientes no domnio adatum.com e no domnio contoso.com usem
um nome de rtulo nico, como data, para localizar um servidor cujo FQDN data.contoso.com
sem ter que usar o FQDN.
Criao de uma zona GlobalNames

Para criar uma zona GlobalNames, voc deve:
1.
Usar a ferramenta dnscmd para habilitar o suporte a zonas GlobalNames.
2.
Criar uma nova zona de pesquisa direta chamada GlobalNames (sem diferenciao de maisculas
e minsculas). No permita atualizaes dinmicas para essa zona.
3.
Criar manualmente registros CNAME que apontam a registros que j existem nas outras zonas
das que so hospedadas em seus servidores DNS.
Por exemplo, voc poderia criar um registro CNAME na zona GlobalNames chamada Data que aponta
a Data.contoso.com. Isso permite que clientes de qualquer domnio DNS na organizao localizem
esse servidor pelo nome de rtulo nico Data.
Voc tambm pode usar os cmdlets do Windows PowerShell Get-DnsServerGlobalNameZone
e Set-DnsServerGlobalNameZone para configurar zonas GlobalNames.
Opes para implementar a segurana de DNS

Como o DNS um servio de rede crtico,
voc deve proteg-lo o mximo possvel.
Vrios opes esto disponveis para
proteger o servidor DNS, incluindo:
Bloqueio do cache DNS
Pool de soquetes DNS
DNSSEC
Bloqueio do cache DNS

Bloqueio de cache um recurso de segurana
do Windows Server 2012 que permite controlar
quando as informaes no cache de DNS podem ser substitudas. Quando um servidor DNS recursivo
responde a uma consulta, armazena em cache os resultados de forma que possa responder rapidamente
se receber outra consulta solicitando as mesmas informaes. O perodo que o servidor DNS mantm as
informaes no cache determinado pelo valor TTL (Vida til) de um registro de recurso. As informaes
no cache podero ser substitudas antes de o TTL expirar se informaes atualizadas sobre esse registro
de recurso forem recebidas. Se um usurio mal-intencionado substituir informaes com xito no cache,
o usurio mal-intencionado poder redirecionar o trfego de rede a um site mal-intencionado. Quando
voc habilita o bloqueio do cache, o servidor DNS probe que os registros em cache sejam substitudos
enquanto durar o valor TTL.
Voc configura o bloqueio de cache como um valor percentual. Por exemplo, se o valor de bloqueio
de cache for definido como 50, o servidor DNS no substituir uma entrada armazenada em cache
para metade da durao da TTL. Por padro, o valor percentual de bloqueio de cache 100. Isso
significa que as entradas em cache no sero substitudas durante toda a TTL.
Voc pode configurar o bloqueio de cache com a ferramenta dnscmd do seguinte modo:
1.
2.

dnscmd /Config /CacheLockingPercent <porcentagem>
3.
Reinicie o servio de DNS para aplicar as alteraes.
Tambm possvel usar o cmdlet do Windows PowerShell Set-DnsServerCache LockingPercent

para definir esse valor. Por exemplo:
Set-DnsServerCache LockingPercent <valor>
1-19
Pool de soquetes DNS

O pool de soquetes DNS permite que um servidor DNS use a randomizao de porta de origem
ao emitir consultas de DNS. Quando o servio de DNS iniciado, o servidor escolhe uma porta de
origem de um pool de soquetes que esto disponveis para emitir consultas. Em vez de usar uma
porta de origem previsvel, o servidor DNS usa um nmero de porta aleatrio que seleciona no pool
de soquetes DNS. O pool de soquetes DNS dificulta os ataques por falsificao do cache, pois um
usurio mal-intencionado precisa adivinhar exatamente a porta de origem de uma consulta DNS
e uma ID de transao aleatria para executar um ataque com sucesso. O pool de soquetes DNS
habilitado por padro no Windows Server 2012.
O tamanho padro do pool de soquetes DNS 2.500. Quando voc configura o pool de soquetes DNS,
pode escolher um valor de tamanho de 0 a 10.000. Quanto maior o valor, maior a proteo que voc
ter contra ataques de falsificao de DNS. Se o servidor DNS estiver executando o Windows Server 2012,
voc tambm poder configurar uma lista de excluso do pool de soquetes DNS.
Voc pode configurar o tamanho do pool de soquetes DNS usando a ferramenta dnscmd
do seguinte modo:
1.
2.

dnscmd /Config /SocketPoolSize <valor>
3.
Reinicie o servio de DNS para aplicar as alteraes
DNSSEC
O DNSSEC permite que uma zona DNS e todos os registros na zona sejam assinados com criptografia, de
modo que computadores cliente possam validar a resposta de DNS. O DNS submetido frequentemente
a vrios ataques, como modificao e falsificao de cache. O DNSSEC ajuda a proteger contra essas
ameaas e fornece uma infraestrutura de DNS mais segura.
Como funciona o DNSSEC

Interceptar e falsificar a resposta de consulta
de DNS de uma organizao um mtodo de
ataque comum. Se usurios mal-intencionados
puderem alterar respostas de servidores DNS,
ou enviar respostas falsificadas para apontar
para computadores cliente em seus prprios
servidores, eles podero ganhar acesso a
informaes confidenciais. Qualquer servio
que dependa de DNS para a conexo inicial,
como servidores Web de comrcio eletrnico
e servidores de email, vulnervel. O DNSSEC
protege os clientes que esto fazendo consultas
de DNS contra a aceitao de falsas respostas de DNS.
Quando um servidor DNS que est hospedando uma zona assinada digitalmente recebe uma consulta,
devolve as assinaturas digitais junto com os registros solicitados. Um resolvedor ou outro servidor pode
obter a chave pblica do par de chave pblica/privada de uma ncora confivel e confirmar que as
respostas so autnticas e no foram falsificadas. Para fazer isso, o resolvedor ou servidor deve ser
configurado com uma ncora confivel para a zona assinada ou para um pai da zona assinada.
ncoras confiveis
Uma ncora confivel uma entidade autorizada que representada por uma chave pblica. A zona
TrustAnchors armazena chaves pblicas pr-configuradas que so associadas a uma zona especfica.
No DNS, a ncora confivel o registro de recurso DNSKEY ou DS. Os computadores cliente usam
esses registros para compilar cadeias de confiana. Voc deve configurar uma ncora confivel da zona
em todo servidor DNS de domnio para validar respostas da zona assinada. Se o servidor DNS for um
controlador de domnio, as zonas integradas ao Active Directory podero distribuir as ncoras confiveis.
Tabela de Polticas de Resoluo de Nomes

A NRPT (Tabela de Polticas de Resoluo de Nomes) contm regras que controlam o comportamento
de cliente DNS enviando consultas de DNS e processando as respostas dessas consultas. Por exemplo,
uma regra de DNSSEC solicita ao computador cliente para verificar a validao da resposta para um
sufixo de domnio DNS especfico. Como prtica recomendada, Poltica de Grupo o mtodo preferido
de configurar a NRPT. Se no houver nenhuma NRPT presente, o computador cliente aceitar respostas
sem valid-las.
Implantao de DNSSEC
Para implantar DNSSEC:
1.
Instale o Windows Server 2012 e atribua a funo de DNS ao servidor. Normalmente, um controlador
de domnio tambm age como o servidor DNS. Porm, isso no um requisito.
2.
Assine a zona DNS usando o Assistente de Configurao de DNSSEC, que est localizado no console
de DNS.
3.
Configure pontos de distribuio de ncora confivel.
4.
Configure a NRPT nos computadores cliente.
Atribuio da funo Servidor DNS

Para atribuir a funo de servidor DNS, no painel do Gerenciador do Servidor, use o Assistente de
Adio de Funes e Recursos. Voc tambm pode adicionar essa funo ao adicionar a funo do AD DS.
Ento, configure as zonas primrias no servidor DNS. Depois que uma zona assinada, qualquer novo
servidor DNS no Windows Server 2012 recebe os parmetros de DNSSEC automaticamente.
Assinando a zona
As seguintes opes de assinatura esto disponveis:
Configure os parmetros de assinatura de zona. Essa opo o guia pelas etapas e permite definir
todos os valores para a KSK (chave de assinatura principal) e a ZSK (chave de assinatura de zona).
Assine a zona com parmetros de uma zona existente. Essa opo permite manter os mesmos
valores e opes da outra zona assinada.
Use as configuraes recomendadas. Essa opo assina a zona usando os valores padro.
Observao: As zonas tambm podem ter a assinatura cancelada usando a interface

do usurio de gerenciamento de DNSSEC para remover assinaturas de zona.
1-21
Configurao de pontos de distribuio de ncora confivel

Se a zona for integrada ao Active Directory, e se todos os controladores de domnio estiverem executando
o Windows Server 2012, voc poder optar por distribuir as ncoras confiveis a todos os servidores na
floresta. Faa essa seleo com cuidado porque o assistente ativa a validao de DNSSEC. Se voc habilitar
ncoras confiveis de DNS sem realizar testes completos, poder causar interrupes de DNS. Se forem
necessrias ncoras confiveis em computadores que no so de um domnio, por exemplo, um servidor
DNS na rede de permetro (tambm conhecido como sub-rede filtrada), ative a sobreposio automtica
de chaves.
Observao: Sobreposio automtica de chaves o ato de substituir um par de chaves
por outro ao trmino do perodo efetivo de uma chave.
Configurao de NRPT em computadores cliente

O computador cliente de DNS s a executa validao de DNSSEC em nomes de domnios onde a NRPT
configurou o computador cliente de DNS para fazer isso. Um computador cliente que est executando
o Windows 7 reconhece o DNSSEC, mas no executa a validao. Em vez disso, usa o servidor DNS
habilitado para segurana para executar a validao.
Novos recursos DNSSEC para Windows Server 2012

O Windows Server 2012 simplificou
a implementao de DNSSEC. Embora o DNSSEC
fosse permitido no Windows Server 2008 R2,
a maioria das tarefas de configurao e
administrao era executada manualmente e as
zonas eram assinadas quando estavam offline.
Assistente de Assinatura
de Zona DNSSEC
O Windows Server 2012 inclui um Assistente
de Assinatura de Zona DNSSEC para simplificar
o processo de configurao e assinatura e permitir
a assinatura online. O assistente permite escolher
os parmetros de assinatura de zona como indicado no tpico anterior. Se voc optar por definir as
configuraes de assinatura de zona em vez de usar parmetros de uma zona existente ou valores
padro, use o assistente para definir configuraes como:
Opes de KSK
Opes de ZSK
Opes de distribuio de ncora confivel
Parmetros de assinatura e sondagem
Novos registros de recursos

A validao de resposta de DNS obtida associando um par de chave privada/pblica (gerado pelo
administrador) a uma zona DNS e definindo registros de recurso DNS adicionais para assinar e publicar
chaves. Os registros de recurso distribuem a chave pblica enquanto a chave privada permanece no
servidor. Quando o cliente solicita a validao, o DNSSEC acrescenta dados resposta, permitindo
ao cliente autenticar a resposta.
A tabela a seguir descreve os novos registros de recursos no Windows Server 2012.
Registro de recurso
Objetivo
DNSKEY
Este registro publica a chave pblica para a zona. Verifica a autoridade

de uma resposta com relao chave privada mantida pelo servidor
DNS. Essas chaves precisam de substituio peridica por sobreposio de
chave. O Windows Server 2012 oferece suporte a sobreposies de chave
automatizadas. Toda zona tem vrios DNSKEYs que so divididos at ZSK
e KSK.
DS (Signatrio da
Delegao)
Esse registro um registro de delegao que contm o hash da chave

pblica de uma zona filho. Esse registro assinado pela chave privada
da zona pai. Se uma zona filho de um pai assinado tambm for assinada,
os registros DS do filho devero ser adicionados manualmente ao pai
de forma que uma cadeia de confiana possa ser criada.
RRSIG (Assinatura do
Registro de Recurso)
Esse registro contm uma assinatura para um conjunto de registros

de DNS. usado para verificar a autoridade de uma resposta.
NSEC (Next Secure)
Quando a resposta de DNS no tiver nenhum dado para fornecer

ao cliente, esse registro autenticar que o host no existe.
NSEC3
Esse registro uma verso com hash do registro de NSEC, o que impede
ataques de alfabeto enumerando a zona.
Outros aprimoramentos novos

Outros aprimoramentos para Windows Server 2012 incluem:
Suporte para atualizaes dinmicas de DNS em zonas assinadas de DNSSEC.
Distribuio automatizada de ncora confivel por AD DS.
Interface de linha de comando com base em Windows PowerShell para gerenciamento e script.
Demonstrao: Configurao de DNSSEC

Nesta demonstrao, voc ver como usar o Assistente de Assinatura de Zona no console de DNS
para configurar o DNSSEC.
Configurar o DNSSEC
1.
Entre em LON-DC1 como Adatum\Administrador com uma senha Pa$$w0rd.
2.
Inicie o console de DNS.
3.
Use o Assistente de Assinatura de Zona DNSSEC para assinar a zona Adatum.com.
4.
Escolha personalizar parmetros de assinatura de zona.
5.
Verifique se o servidor DNS LON-DC1 o Mestre de Chave.
6.
Adicione a Chave KSK aceitando valores padro para a nova chave.
7.
Adicione a Chave de Assinatura da rea aceitando valores padro para a nova chave.
8.
Escolha usar NSCE3 com valores padro.
9.
No escolha habilitar a distribuio de ncoras confiveis para essa zona.
10. Aceite os valores padro para assinar e sondar.

11. Verifique se os registros de recurso DNSKEY foram criados na zona Pontos Confiveis.
12. Use o GPMC (Console de Gerenciamento de Poltica de Grupo) para configurar NRPT. Crie uma
regra que habilite DNSSEC para o sufixo de Adatum.com e isso exige que computadores cliente
de DNS verifique se os dados de nome e endereo foram validados.
1-23
Lio 3
Implementao de IPAM
Com o desenvolvimento de IPv6 e mais dispositivos que precisam de endereos IP, as redes ficaram
complexas e difceis de gerenciar. Manter uma lista atualizada de endereos IP estticos que foram
emitidos frequentemente tem sido uma tarefa manual, que pode conduzir a erros. Para ajudar
as organizaes a gerenciar endereos IP, o Windows Server 2012 fornece a ferramenta IPAM.
Objetivos da lio
Descrever o IPAM.
Descrever a arquitetura do IPAM.
Descrever os requisitos das implementaes de IPAM.
Explicar como gerenciar o endereamento IP usando o IPAM.
Explicar como instalar e configurar o IPAM.
Explicar como gerenciar e monitorar o IPAM.
Descrever consideraes para implementar o IPAM.
O que IPAM?
O gerenciamento de endereos IP uma tarefa
difcil em redes grandes, pois o rastreamento do
uso de endereos IP , em grande parte, uma
operao manual. O Windows Server 2012
introduz o IPAM, que uma estrutura para
descobrir, auditar, monitorar a utilizao
e gerenciar o espao do endereo IP em
uma rede. O IPAM permite a administrao
e o monitoramento de DHCP e DNS e fornece
uma viso abrangente sobre onde so usados
os endereos IP. O IPAM coleta informaes
de controladores de domnio e NPSs (Servidores
de Poltica de Rede) e armazena essas informaes no Banco de Dados Interno do Windows.
1-25
O IPAM ajuda nas reas de administrao de IP como mostrado na tabela a seguir.

rea de administrao
de IP
Recursos de IPAM
Planejamento
Fornece um conjunto de ferramentas que pode reduzir o tempo e o custo

do processo de planejamento quando as alteraes ocorrem na rede.
Gerenciamento
Fornece um nico ponto de gerenciamento e ajuda a otimizar a utilizao

e a capacidade de planejamento de DHCP e DNS.
Acompanhamento
Habilita o acompanhamento e a previso da utilizao de endereo IP.
Auditoria
Ajuda com requisitos de conformidade, como HIPAA (Health Insurance

Portability and Accountability Act) e a Lei Sarbanes-Oxley de 2002
e fornece relatrios para gerenciamento de alteraes e forense.
Caractersticas do IPAM
As caractersticas do IPAM incluem:
Um nico servidor IPAM pode suportar at 150 servidores DHCP e 500 servidores DNS.
Um nico servidor IPAM pode suportar at 6.000 escopos DHCP e 150 zonas DNS.
O IPAM armazena trs anos de dados forenses (concesses de endereo IP, endereos MAC
(controle de acesso mdia) de host, informaes de logon e logoff de usurio) para 100.000
usurios em um Banco de Dados Interno do Windows. Nenhuma poltica de depurao de banco
de dados fornecida e o administrador deve depurar os dados manualmente conforme necessrio.
O IPAM s suporta o Banco de Dados Interno do Windows. Nenhum banco de dados externo
permitido.
Tendncias de utilizao de endereo IP so fornecidas somente para IPv4.
O suporte de recuperao de endereo IP fornecido somente para IPv4.
O IPAM no verifica a consistncia de endereo IP com roteadores e comutadores.
Benefcios do IPAM
Os benefcios do IPAM incluem:
Alocao e planejamento de espao de endereo IPv4 e IPv6.
Estatsticas e monitoramento de tendncia de utilizao de espao de endereo IP.
Gerenciamento do inventrio IP esttico, gerenciamento de vida til e criao e excluso

de registros DHCP e DNS.
Servio e monitoramento de zona de servios de DNS.
Concesso de endereo IP e acompanhamento de eventos de logon.
RBAC (Controle de acesso baseado na funo).
Suporte de administrao remota por RSAT.
Observao: O IPAM no suporta gerenciamento e configurao de elementos

de rede no Microsoft.
Arquitetura IPAM
A arquitetura do IPAM consiste em
quatro mdulos principais, como listado
na tabela a seguir.
Mdulo
Descrio
Descoberta de IPAM
Voc usa o AD DS para descobrir servidores que esto executando o

Windows Server 2008 e sistemas operacionais Windows Server mais
recentes e que tm DNS, DHCP ou AD DS instalado. Voc pode definir
o escopo de descoberta como um subconjunto de domnios na floresta.
Voc tambm pode adicionar servidores manualmente.
Gerenciamento de
espao de endereo IP
Voc pode usar este mdulo para exibir, monitorar e gerenciar o espao
de endereo IP. Voc pode emitir dinamicamente ou atribuir endereos
estaticamente. Voc tambm pode acompanhar a utilizao de endereos
e detectar a sobreposio de escopos DHCP.
Gerenciamento
e monitoramento
multisservidor
Voc pode gerenciar e monitorar vrios servidores DHCP. Isso permite

executar tarefas em vrios servidores. Por exemplo, voc pode configurar
e editar propriedades e escopos DHCP e acompanhar o status de DHCP
e a utilizao de escopo. Voc tambm pode monitorar vrios servidores
DNS e monitorar a integridade e o status de zonas DNS em vrios
servidores DNS autorizados.
Auditoria operacional
e acompanhamento
de endereo IP
Voc pode usar as ferramentas de auditoria para acompanhar problemas

de configurao potenciais. Voc tambm pode coletar, gerenciar e exibir
detalhes de alteraes de configurao de servidores DHCP gerenciados.
Voc tambm pode coletar acompanhamento de concesso de endereo
de logs de concesso de DHCP e coletar informaes de evento de logon
de NPS e controladores de domnio.
O servidor IPAM pode gerenciar s uma floresta do Active Directory. Assim, voc pode implantar o IPAM
em uma de trs topologias:
Distribuda. Voc implanta um servidor IPAM para cada site na floresta.
Centralizada. Voc implanta s um servidor IPAM na floresta.
Hbrida. Voc implanta um servidor IPAM central junto com um servidor IPAM dedicado em cada site.
Observao: Os servidores IPAM no se comunicam um com o outro nem compartilham

informaes do banco de dados. Se voc implantar vrios servidores IPAM, dever personalizar
o escopo de descoberta de cada servidor.
1-27
O IPAM tem dois componentes principais:
Servidor IPAM. O servidor IPAM executa a coleta de dados dos servidores gerenciados.
Tambm gerencia o Banco de Dados Interno do Windows e fornece RBAC.
Cliente IPAM. O cliente IPAM fornece a interface do usurio de computador cliente. Tambm interage
com o servidor IPAM e invoca o Windows PowerShell para executar tarefas de configurao de DHCP,
monitoramento de DNS e gerenciamento remoto.
Requisitos para implementao do IPAM

Para assegurar uma implementao
do IPAM bem-sucedida, voc deve satisfazer
vrios pr-requisitos:
O servidor IPAM deve ser um membro

de domnio, mas no pode ser um
controlador de domnio.
O servidor IPAM deve ser um servidor

de finalidade nica. No instale outras
funes de rede como DHCP ou DNS
no mesmo servidor.
Para gerenciar o espao de endereo IPv6,

voc deve ter IPv6 habilitado no servidor IPAM.
Entre no servidor IPAM com uma conta de domnio, e no uma conta local.
Voc deve ser um membro do grupo de segurana local IPAM correto no servidor IPAM.
Habilite o registro de eventos de logon de conta em controlador de domnio e servidores NPS

para o recurso de acompanhamento e auditoria de endereo IP do IPAM.
Requisitos de hardware e software de IPAM

Os requisitos de hardware e software de IPAM so os seguintes:
Processador dual core de 2.0 GHz (gigahertz) ou mais
Sistema operacional Windows Server 2012
4 GB (gigabytes) ou mais de RAM (memria de acesso aleatrio)
80 GB de espao livre no disco rgido
Alm dos requisitos previamente mencionados, o Windows Server 2008 e o Windows Server 2008 R2
precisam do seguinte:
O Service Pack 2 (SP2) deve ser instalado no Windows Server 2008.
A instalao completa do Microsoft .NET Framework 4.0 deve ser instalada.
O Windows Management Framework 3.0 Beta deve ser instalado (KB2506146).
Para Windows Server 2008 SP2, o Windows Management Framework Core (KB968930) tambm
necessrio.
O Windows Remote Management deve ser habilitado.
Verifique se os SPNs (nomes de entidade de servio) esto escritos.
Gerenciamento do endereamento IP usando o IPAM

O gerenciamento de espao de endereo IP
permite aos administradores gerenciar,
acompanhar, auditar e relatar espaos de
endereo IPv4 e IPv6 de uma organizao.
O console de espao de endereo IP do IPAM
proporciona aos administradores estatsticas de
utilizao de endereo IP e dados de tendncia
histricos para que eles possam tomar decises
de planejamento conscientes para espaos
de endereo dinmico, esttico e virtual.
As tarefas peridicas do IPAM descobrem o
espao de endereo e os dados de utilizao
automaticamente, conforme configurado nos servidores DHCP que so gerenciados no IPAM. Voc
tambm pode importar informaes de endereo IP em arquivos .csv (valores separados por vrgula).
O IPAM tambm permite aos administradores detectar intervalos de endereo IP sobrepostos que
so definidos em servidores DHCP diferentes, localizar endereos IP livres dentro de um intervalo,
criar reservas de DHCP e criar registros de DNS.
O IPAM fornece vrios modos de filtrar a exibio do espao de endereo IP. Voc pode personalizar
como exibe e gerencia o espao de endereo IP usando uma das seguintes exibies:
Blocos de endereo IP
Intervalos de endereo IP
Endereos IP
Inventrio de endereos IP
Grupos de intervalo de endereo IP
Blocos de endereo IP
Os blocos de endereo IP so as entidades de mais alto nvel dentro de uma organizao de espao
de endereo IP. Conceitualmente, um bloco de IP uma sub-rede de IP marcada por um endereo
IP inicial e final e atribudo normalmente a uma organizao atravs de vrios RIRs (Registros de
Internet Regionais). Os administradores de rede usam blocos de endereo para criar e alocar intervalos
de endereo IP a DHCP. Eles podem adicionar, importar, editar e excluir blocos de endereo IP. O IPAM
mapeia intervalos de endereo IP automaticamente para o bloco de endereo IP apropriado baseado
nos limites do intervalo. Voc pode adicionar e importar blocos de endereo IP no console do IPAM.
Intervalos de endereo IP
Os intervalos de endereo IP so o prximo nvel hierrquico de entidades de espao de endereo IP
depois dos blocos de endereo IP. Conceitualmente, um intervalo de endereos IP uma sub-rede
de IP marcada por um endereo IP inicial e final e corresponde normalmente a um escopo DHCP, a
um intervalo de endereos IPv4 ou IPv6 estticos ou a um pool de endereos que usado para atribuir
endereos a hosts. Um intervalo de endereos IP identificvel exclusivamente pelo valor das opes
obrigatrias Gerenciado por Servio e Instncia de Servio, que ajudam o IPAM a gerenciar e manter
intervalos de endereo IP sobrepostos ou duplicados no mesmo console. Voc pode adicionar ou
importar intervalos de endereo IP no console do IPAM.
1-29
Endereos IP
Endereos IP so os endereos que compem o intervalo de endereos IP. O IPAM permite
o gerenciamento de ciclo de vida completo de endereos IPv4 e IPv6, inclusive sincronizao de
registro com servidores DHCP e DNS. O IPAM mapeia um endereo automaticamente para o intervalo
apropriado baseado no endereo inicial e final do intervalo. Um intervalo de endereos IP identificvel
exclusivamente pelo valor das opes obrigatrias Gerenciado por Servio e Instncia de Servio que
ajudam o IPAM a gerenciar e manter endereos IP duplicados no mesmo console. Voc pode adicionar
ou importar endereos IP no console do IPAM.
Inventrio de endereos IP
Na exibio do inventrio de endereos IP, voc pode exibir uma lista de todos os endereos IP
na empresa junto com o nome e o tipo do dispositivo. O inventrio de endereos IP um grupo
lgico definido pela opo Tipo de Dispositivo na exibio de endereos IP. Esses grupos permitem
personalizar o modo como seu espao de endereo exibido para gerenciar e acompanhar o uso de IP.
Voc pode adicionar ou importar endereos IP no console do IPAM. Por exemplo, voc pode adicionar
os endereos IP para impressoras ou roteadores, atribuir o endereo IP ao tipo de dispositivo apropriado
de impressora ou roteador e exibir seu inventrio de IP filtrado pelo tipo de dispositivo atribudo.
Grupos de intervalo de endereo IP

O IPAM permite organizar intervalos de endereo IP em grupos lgicos. Por exemplo, voc pode
organizar intervalos de endereo IP geograficamente ou por diviso comercial. Grupos lgicos so
definidos selecionando os critrios de agrupamento em campos personalizados internos ou definidos
pelo usurio.
Gerenciando e monitorando
O IPAM permite o monitoramento de servio automatizado e peridico de servidores DHCP e DNS
em uma floresta. O monitoramento e o gerenciamento so organizados nas exibies listadas na
tabela a seguir.
Exibio
Descrio
Servidores DNS
e DHCP
Por padro, os servidores DHCP e DNS gerenciados so organizados pela

interface de rede em /16 sub-redes para IPv4 e /48 sub-redes para IPv6.
Voc pode selecionar a exibio para ver apenas propriedades de escopo
DHCP, apenas propriedades de servidor DNS ou ambas.
Escopos DHCP
A exibio de escopo DHCP permite o monitoramento de utilizao de escopo.

So coletadas estatsticas de utilizao periodicamente e automaticamente em
um servidor DHCP gerenciado. Voc pode acompanhar propriedades de escopo
importantes como Nome, ID, Comprimento do Prefixoe Status.
Monitoramento
da zona DNS
O monitoramento de zona permitindo para zonas de pesquisa direta e inversa.

O status da zona baseado em eventos coletados pelo IPAM. O status de cada
zona resumido.
Grupos de
servidores
Voc pode organizar seus servidores DHCP e DNS gerenciados em grupos

lgicos. Por exemplo, voc pode organizar servidores por unidade de negcios
ou geografia. Grupos so definidos selecionando os critrios de agrupamento
em campos internos ou definidos pelo usurio.
Demonstrao: Instalao e configurao do IPAM

Nesta demonstrao, voc aprender a instalar e configurar o gerenciamento de IPAM.
Instalar o IPAM
1.
Entre em LON-SVR2 como Adatum\Administrador com uma senha Pa$$w0rd.
2.
No Gerenciador do Servidor, adicione o recurso IPAM e todos os recursos de suporte exigidos.
Configurar o IPAM
1.
No painel Viso Geral de IPAM, provisione o servidor IPAM usando a Poltica de Grupo.
2.
Insira IPAM como o prefixo do nome de GPO (Objeto de Poltica de Grupo) e provisione o IPAM.
O provisionamento levar alguns minutos para terminar.
3.
No painel Viso Geral de IPAM, configure a descoberta de servidor para o domnio Adatum.
4.
No painel Viso Geral de IPAM, inicie o processo de descoberta de servidor. A descoberta pode levar
de 5 a 10 minutos para ser executada. A barra amarela indica quando a descoberta concluda.
5.
No painel Viso Geral de IPAM, adicione os servidores a serem gerenciados.
6.
Verifique se o acesso do IPAM est bloqueado atualmente.
7.
Use o Windows PowerShell para conceder ao servidor IPAM permisso para gerenciar LON-DC1
usando o seguinte comando:
Invoke-IpamGpoProvisioning Domain Adatum.com GpoPrefixName IPAM IpamServerFqdn
LON-SVR2.adatum.com DelegatedGpoUser Administrador
8.
Defina o status de gerenciamento como Gerenciado.
9.
Alterne para LON-DC1.
10. Force a atualizao de Poltica de Grupo.

11. Volte a LON-SVR2 e atualize a exibio de IPv4. A descoberta pode levar de 5 a 10 minutos para
ser executada.
12. No painel Viso Geral de IPAM, recupere dados do servidor gerenciado.
1-31
Gerenciamento e monitoramento de IPAM

O recurso de gerenciamento de espao de
endereo do IPAM permite exibir, monitorar e
gerenciar com eficincia o espao de endereo IP
na rede. O gerenciamento de espao de endereo
suporta endereos IPv4 pblicos e privados e
endereos IPv6 global e de unicast. Usando a
exibio de servidor DNS e DHCP, voc pode
exibir e monitorar a integridade e a configurao
de todos os servidores DNS e DHCP que esto
sendo gerenciados por IPAM. O IPAM usa tarefas
agendadas para coletar dados periodicamente
de servidores gerenciados. Voc tambm pode
recuperar dados sob demanda usando a opo Recuperar Todos os Dados do Servidor.
Monitoramento de utilizao
Os dados de utilizao so mantidos para intervalos de endereo IP, blocos de endereo IP e grupos
de intervalo de IP no IPAM. Voc pode configurar limites para o percentual do espao de endereo IP
que utilizado e usar esses limites para determinar subutilizao e superutilizao.
Voc pode executar a criao e os relatrios de tendncia de utilizao para intervalos de endereo
IPv4, blocos e grupos de intervalo. A janela de tendncia de utilizao permite exibir tendncias com
o passar de perodos como dirio, semanal, mensal ou anualmente, ou voc pode exibir tendncias
sobre intervalos de datas personalizados. Os dados de utilizao de escopos DHCP gerenciados so
descobertos automaticamente e voc pode exibir esses dados.
Monitoramento de DHCP e DNS

Usando o IPAM, voc pode monitorar servidores DHCP e DNS de qualquer local fsico da empresa.
Um dos benefcios primrios do IPAM sua capacidade de gerenciar simultaneamente vrios
servidores DHCP ou escopos DHCP que so distribudos em um ou mais servidores DHCP.
O IPAM que monitora a exibio permite exibir o status e a integridade de conjuntos selecionados de
servidores Microsoft DNS e DHCP de um nico console. A exibio de monitoramento do IPAM exibe
a integridade bsica de servidores e eventos de configurao recentes que ocorreram nesses servidores.
A exibio de monitoramento tambm permite organizar os servidores gerenciados em grupos
de servidores lgicos.
Para servidores DHCP, a exibio de servidor permite acompanhar vrias configuraes de servidor,
opes de servidor, o nmero de escopos e o nmero de concesses ativas que esto configuradas no
servidor. Para servidores DNS, essa exibio permite acompanhar todas as zonas que so configuradas
no servidor, junto com detalhes do tipo de zona. A exibio tambm permite ver o nmero total de
zonas que so configuradas no servidor e o status de integridade de zona global derivado do status
de zonas individuais no servidor.
Gerenciamento do Servidor DHCP

No console do IPAM, voc pode gerenciar servidores DHCP e executar as seguintes aes:
Editar as propriedades do servidor DHCP.
Editar as opes do servidor DHCP.
Criar escopos DHCP.
Configurar opes e valores predefinidos.
Configurar a classe de usurio em vrios servidores simultaneamente.
Criar e editar classes de usurio novas e existentes em vrios servidores simultaneamente.
Configurar a classe de fornecedor em vrios servidores simultaneamente.
Iniciar o console de gerenciamento para um servidor DHCP selecionado.
Recuperar dados de servidor de vrios servidores.
Gerenciamento do Servidor DNS

Voc pode iniciar o console de gerenciamento de DNS para qualquer servidor DNS gerenciado, de
um console central no servidor IPAM. Quando voc inicia o console de gerenciamento de DNS, pode
recuperar dados de servidor do conjunto selecionado de servidores. A exibio Monitoramento de Zona
de DNS exibe todas as zonas de pesquisa direta e inversa em todos os servidores DNS que o IPAM est
gerenciando atualmente. Para as zonas de pesquisa direta, o IPAM tambm exibe todos os servidores que
esto hospedando a zona e a integridade agregada da zona em todos esses servidores e as propriedades
da zona.
O catlogo de eventos
O catlogo de eventos do IPAM fornece um repositrio centralizado para auditar todas as alteraes
de configurao que so executadas em servidores DHCP que so gerenciados de um nico console
de gerenciamento de IPAM. O console de eventos de configurao de IPAM coleta todos os eventos
de configurao. Esse catlogo de eventos de configurao permite exibir, consultar e gerar relatrios
das alteraes de configurao consolidadas, junto com detalhes especficos de cada registro.
Consideraes para implementao do IPAM

IPAM uma tecnologia sem agente que
usa protocolos WinRM (Windows Remote
Management) para gerenciar, monitorar e coletar
dados de servidores distribudos no ambiente.
Desse modo, voc deve estar atento a algumas
consideraes de implementao.
1-33
Consideraes sobre a instalao

Embora a instalao do IPAM seja relativamente simples, h certas consideraes que voc deve levar
em conta:
O IPAM no deve ser instalado em um controlador de domnio, servidor DHCP ou servidor DNS.
O assistente de instalao no Gerenciador do Servidor instala automaticamente os recursos

necessrios para suportar o IPAM. No h etapas adicionais necessrias do administrador.
O cliente do IPAM instalado automaticamente no Windows Server 2012 junto com o servidor IPAM,
mas voc pode desinstalar o cliente separadamente.
Voc pode desinstalar o IPAM usando o Gerenciador do Servidor. Sero excludos todos os grupos de
segurana locais, dependncias e tarefas agendadas. O banco de dados do IPAM ser desvinculado
do Banco de Dados Interno do Windows.
Consideraes funcionais
Considere as seguintes especificaes funcionais do IPAM:
O IPAM no suporta vrias topologias de floresta.
O IPAM s pode usar o Banco de Dados Interno do Windows; no pode usar nenhum outro tipo
de banco de dados.
O servidor IPAM deve coletar informaes de concesso de DHCP para permitir o acompanhamento
de endereo. Verifique se o tamanho do arquivo de log de auditoria de DHCP est configurado
de forma que seja grande o suficiente para conter eventos de auditoria durante o dia inteiro.
Para controladores de domnio e servidores de poltica de rede, habilite os eventos necessrios

para registrar em log. Para fazer isso, voc poder usar as configuraes de segurana da poltica
de grupo.
Consideraes administrativas
Os administradores de domnio e empresa possuem acesso total administrao do IPAM. Voc pode
delegar obrigaes administrativas a outros usurios ou grupos usando os grupos de segurana do IPAM.
O processo de instalao cria grupos de segurana locais (que no tm nenhum membro por padro)
no servidor IPAM. Os grupos de segurana locais fornecem as permisses que so necessria para
administrar e usar os vrios servios empregados pelo IPAM.
A instalao do IPAM cria automaticamente os grupos de usurio locais listados na tabela a seguir.
Grupo
Descrio
Usurios do IPAM
Os membros deste grupo podem exibir todas as informaes no

inventrio do servidor IPAM, no espao de endereo IP e nos consoles
de gerenciamento do servidor IPAM. Eles podem exibir eventos
operacionais dos servidores IPAM e DHCP, mas no podem exibir
informaes de rastreamento de endereo IP.
Administradores
IPAM MSM
Os membros deste grupo tm todos os privilgios do grupo Usurios

do IPAM e podem executar tarefas de monitoramento e gerenciamento
do IPAM.
(continuao)
Grupo
Descrio
Administradores
IPAM ASM

do IPAM e podem executar tarefas de espao de endereo IP do IPAM.
Administradores de
auditoria IPAM IP

do IPAM e podem exibir informaes de rastreamento de endereo IP.
Administradores
do IPAM
Os membros deste grupo podem exibir todas as informaes do IPAM

e executar todas as tarefas do IPAM.
Migrando os dados de IP existentes para o IPAM

Muitas organizaes usam as planilhas do Microsoft Office Excel para documentar a alocao de espao
de endereo IP para endereos estticos e dispositivos de rede. Como voc deve atualizar essas planilhas
manualmente, elas so propensas a erro. Voc pode migrar os dados existentes dessas planilhas no IPAM
convertendo as planilhas em arquivos .csv e importando as informaes no IPAM.
1-35
Laboratrio: Implementao de servios

de rede avanados
Cenrio
A A. Datum Corporation cresceu rapidamente durante os ltimos anos. A empresa implantou vrias novas
filiais e aumentou o nmero de usurios significativamente na organizao. Adicionalmente, expandiu
o nmero de organizaes parceiras e clientes que esto acessando sites e aplicativos da A. Datum.
Por causa dessa expanso, a complexidade da infraestrutura de rede aumentou e a organizao agora
precisa ficar muito mais atenta segurana no nvel de rede.
Como um dos administradores de rede snior da A. Datum, voc responsvel por implementar alguns
dos recursos de sistema de rede avanados do Windows Server 2012 para gerenciar a infraestrutura
de sistema de rede. Voc precisa implementar novos recursos no DHCP e DNS, com a meta primria
de fornecer nveis mais altos de disponibilidade, aumentando a segurana desses servios. Voc tambm
precisa implementar o IPAM para simplificar e centralizar o gerenciamento do uso e da configurao
de endereo IP em uma rede complexa crescente.
Objetivos
Definir configuraes DHCP avanadas.
Definir configuraes de DNS avanadas.
Configurar o gerenciamento de endereo IP.
Configurao do laboratrio
Tempo previsto: 70 minutos
Mquinas virtuais
24412B-LON-DC1
24412B-LON-SVR1
24412B-LON-SVR2
24412B-LON-CL1
Nome de Usurio
Adatum\Administrador
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Antes de iniciar o laboratrio,
voc deve concluir as seguintes etapas:
1.
No computador host, clique em Iniciar, aponte para Ferramentas Administrativas e clique

em Gerenciador Hyper-V.
2.
No Gerenciador Hyper-V, clique em 24412B-LON-DC1 e, no painel Aes, clique em Iniciar.
3.
No painel Aes, clique em Conectar. Aguarde at que a mquina virtual seja iniciada.
4.
Entre usando as seguintes credenciais:
5.
Nome de Usurio: Adatum\Administrador
Senha: Pa$$w0rd
Repita as etapas de 2 a 4 para 24412B-LON-SVR1 e 24412B-LON-SVR2. No inicie

24412B-LON-CL1 at receber instrues.
Exerccio 1: Definio de configuraes avanadas de DHCP

Cenrio
Com a expanso da rede e o aumento dos requisitos de disponibilidade e segurana na A. Datum
Corporation, voc precisa implementar alguns recursos adicionais de DHCP. Por causa da recente
expanso comercial, o escopo DHCP da matriz utilizado quase completamente, o que significa
que voc precisa configurar um superescopo. Alm disso, voc precisa configurar Proteo de
Nome DHCP e Failover de DHCP.
As principais tarefas deste exerccio so:
1.
Configurar um superescopo.
2.
Configurar a proteo de nome DHCP.
3.
Configurar e verificar o failover de DHCP.
Tarefa 1: Configurar um superescopo

1.
2.
Em LON-DC1, configure um escopo chamado Scope1, com um intervalo de 192.168.0.50.

a 192.168.0.100, e com as seguintes configuraes:
o
Mscara de sub-rede: 255.255.255.0
Roteador: 192.168.0.1
Sufixo DNS: Adatum.com
Escolha ativar o escopo posteriormente
Configure um segundo escopo chamado Scope2, com um intervalo de 192.168.1.50.

a 192.168.1.100, e com as seguintes configuraes:
o
Roteador: 192.168.1.1
Sufixo DNS: Adatum.com
Escolha ativar o escopo posteriormente
3.
Crie um superescopo chamado AdatumSuper que tem Scope1 e Scope2 como membros.
4.
Ative o superescopo AdatumSuper.
Tarefa 2: Configurar a proteo de nome DHCP
Alterne para o console DHCP em LON-DC1 e habilite Proteo de Nome DHCP para o n IPv4.
Tarefa 3: Configurar e verificar o failover de DHCP

1.
Em LON-SVR1, inicie o console DHCP e observe o estado atual de DHCP. Observe que o servidor
autorizado, mas que nenhum escopo configurado.
2.
Em LON-DC1, no console DHCP, inicie o Assistente de Configurao de Failover.
3.
1-37
Configure uma replicao de failover com as seguintes definies:

o
Servidor de parceiro: 172.16.0.21
Nome da relao: Adatum
Prazo de Entrega Mximo do Cliente: 15 minutos
Modo: Balancear carga
Percentual de balanceamento de carga: 50%
Intervalo de alternncia de estado: 60 minutos
Segredo compartilhado de autenticao de mensagem: Pa$$w0rd
4.
Conclua o Assistente de Configurao de Failover.
5.
Em LON-SVR1, atualize o n IPv4. Note que o n IPv4 est ativo, e que o Escopo Adatum
est configurado.
6.
Inicie 24412B-LON-CL1 e entre como Adatum\Administrador.
7.
Configure LON-CL1 para obter um endereo IP do servidor DHCP.
8.
Abra uma janela de prompt de comando e registre o endereo IP.
9.
Alterne para LON-DC1 e pare o servio do servidor DHCP.
10. Volte a LON-CL1 e renove o endereo IP.

11. Desligue o servidor LON-SVR1.
12. Em LON-DC1, no console Servios, inicie o servio do servidor DHCP.
13. Feche o console Servios.
Resultados: Depois de concluir este exerccio, voc ter configurado um superescopo, Proteo
de Nome DHCP, e configurado e verificado failover de DHCP.
Exerccio 2: Definio das configuraes avanadas de DNS

Cenrio
Para aumentar o nvel de segurana para as zonas DNS na A. Datum, voc precisa definir configuraes
de segurana de DNS como DNSSEC, pool de soquetes de DNS e bloqueio de cache. A A. Datum tem
uma relao comercial com a Contoso, SA, e hospedar a zona DNS da Contoso.com. Os clientes
da A. Datum usam um aplicativo que acessa um servidor chamado App1 na zona da Contoso.com
usando seu nome NetBIOS. Voc precisa assegurar que esses aplicativos possam resolver os nomes
dos servidores necessrios corretamente. Voc empregar uma zona GlobalNames para fazer isso.
1.
Configurar o DNSSEC.
2.
Configurar o pool de soquetes de DNS.
3.
Configurar o bloqueio do cache DNS.
4.
Configurar uma zona GlobalNames.
Tarefa 1: Configurar o DNSSEC

1.
Em LON-DC1, inicie o Gerenciador de DNS.
2.
Use o Assistente de Assinatura de Zona DNSSEC para assinar a zona Adatum.com.
3.
Escolha personalizar parmetros de assinatura de zona.
4.
Verifique se o servidor DNS LON-DC1 o Mestre de Chave.
5.
Adicione a Chave KSK aceitando valores padro para a nova chave.
6.
Adicione a Chave de Assinatura da rea aceitando valores padro para a nova chave.
7.
Escolha usar NSCE3 com os valores padro.
8.
No escolha habilitar a distribuio de ncoras confiveis para essa zona.
9.
Aceite os valores padro para assinar e sondar.
10. Verifique se os registros de recurso DNSKEY foram criados na zona Pontos Confiveis.
11. Minimize o console do DNS.
12. Use o Console de Gerenciamento de Poltica de Grupo, no objeto Poltica de Domnio Padro,
para configurar a Tabela Polticas de Resoluo de Nome.
13. Crie uma regra que habilite DNSSEC para o sufixo de Adatum.com e isso exige que clientes
de DNS verifiquem se os dados de nome e endereo foram validados.
Tarefa 2: Configurar o pool de soquetes de DNS

1.
Em LON-DC1, inicie o Windows PowerShell.
2.
Execute o seguinte comando para exibir o tamanho atual do pool de soquetes:

Get-DNSServer
3.
Execute o seguinte comando para alterar o tamanho do pool de soquetes para 3.000:
dnscmd /config /socketpoolsize 3000
4.
Reinicie o servio DNS.
5.
Execute o seguinte comando para confirmar o novo tamanho do pool de soquetes:

Get-DnsServer
Tarefa 3: Configurar o bloqueio do cache DNS

1.
Execute o seguinte comando para exibir o tamanho atual do bloqueio de cache:

Get-DnsServer
2.
Execute o seguinte comando para alterar o valor de bloqueio de cache para 75%:
Set-DnsServerCache LockingPercent 75
3.
Reinicie o servio DNS.
4.
Execute o seguinte comando para confirmar o novo valor de bloqueio de cache:

Get-DnsServer
1-39
Tarefa 4: Configurar uma zona GlobalNames

1.
Crie uma zona de pesquisa direta integrada ao Active Directory chamada Contoso.com, executando
o seguinte comando:
Add-DnsServerPrimaryZone Name Contoso.com ReplicationScope Forest
2.
Execute o seguinte comando para habilitar o suporte a zonas GlobalName:

Set-DnsServerGlobalNameZone AlwaysQueryServer $true
3.
Crie uma zona de pesquisa direta integrada ao Active Directory chamada GlobalNames executando
o seguinte comando:
Add-DnsServerPrimaryZone Name GlobalNames ReplicationScope Forest
4.
Abra o console do Gerenciador de DNS e adicione um novo registro do host ao domnio

Contoso.com chamado App1 com o endereo IP 192.168.1.200.
5.
Na zona GlobalNames, crie um novo alias chamado App1 usando o FQDN de App1.Contoso.com.
6.
Feche o Gerenciador de DNS e feche o prompt de comando.
Resultados: Depois de concluir este exerccio, voc ter configurado DNSSEC, o pool de soquetes
de DNS, o bloqueio de cache de DNS e a zona GlobalName.
Exerccio 3: Configurao de IPAM

Cenrio
A A. Datum Corporation est avaliando solues para simplificar o gerenciamento de endereo IP.
Desde a implementao do Windows Server 2012, voc decidiu implementar o IPAM.
1.
Instalar o recurso IPAM.
2.
Configurar GPOs relacionados ao IPAM.
3.
Configurar descoberta de servidor de gerenciamento de IP.
4.
Configurar servidores gerenciados.
5.
Configurar e verificar um novo escopo DHCP com IPAM.
6.
Configurar blocos de endereo IP, registrar endereos IP e criar reservas de DHCP e registros de DNS.
Tarefa 1: Instalar o recurso IPAM
Em LON-SVR2, instale o recurso Servidor de Gerenciamento de Endereos IP (IPAM) usando

o Assistente de Adio de Funes e Recursos em Gerenciador do Servidor.
Tarefa 2: Configurar GPOs relacionados ao IPAM

1.
Em LON-SVR2, em Gerenciador do Servidor, no painel Viso Geral do IPAM, provisione o servidor

IPAM usando a Poltica de Grupo.
2.
Insira IPAM como o prefixo de nome de GPO e provisione o IPAM usando o Assistente de Proviso
de IPAM.
Tarefa 3: Configurar descoberta de servidor de gerenciamento de IP

1.
No painel Viso Geral de IPAM, configure a descoberta de servidor para o domnio Adatum.
2.
No painel Viso Geral de IPAM, inicie o processo de descoberta de servidor. A descoberta pode levar
de 5 a 10 minutos para ser executada. A barra amarela indicar quando a descoberta for concluda.
Tarefa 4: Configurar servidores gerenciados

1.
No painel Viso Geral de IPAM, adicione os servidores que voc precisa gerenciar. Verifique
se o acesso do IPAM est bloqueado atualmente.
2.
Use o Windows PowerShell para conceder ao servidor IPAM permisso para gerenciar LON-DC1
executando o seguinte comando:
Invoke-IpamGpoProvisioning Domain Adatum.com GpoPrefixName IPAM IpamServerFqdn
LON-SVR2.adatum.com DelegatedGpoUser Administrador
3.
Defina o status de gerenciamento como Gerenciado.
4.
Alterne para LON-DC1 e force a atualizao da Poltica de Grupo usando gpupdate /force.
5.
Volte a LON-SVR2 e atualize o status de acesso do servidor para LON-DC1 e a exibio do console
do Gerenciador do Servidor. Pode levar at 10 minutos para o status mudar. Se necessrio, repita
ambas as tarefas de atualizao conforme necessrio at que uma marca de seleo verde seja
exibida prximo a LON-DC1 e o Status de Acesso do IPAM seja exibido como Desbloqueado.
6.
No painel Viso Geral de IPAM, clique em Recuperar dados de servidores gerenciados.
Tarefa 5: Configurar e verificar um novo escopo DHCP com IPAM

1.
2.
Em LON-SVR2, use o IPAM para criar um novo escopo DHCP com os seguintes parmetros:
o
Endereo inicial do escopo: 10.0.0.50
Endereo final do escopo: 10.0.0.100
Gateway padro: 10.0.0.1
Em LON-DC1, verifique o escopo na DHCP MMC.
Tarefa 6: Configurar blocos de endereo IP, registrar endereos IP e criar reservas

de DHCP e registros de DNS
1.
2.
Em LON-SVR2, adicione um bloco de endereo IP no console do IPAM com os seguintes parmetros:

o
ID de rede: 172.16.0.0
Comprimento do prefixo: 16
Descrio: Sede
Adicione endereos IP para o roteador de rede acrescentando ao Inventrio de Endereos IP

com os seguintes parmetros:
o
Endereo IP: 172.16.0.1
Endereo MAC: 112233445566
Tipo de dispositivo: Roteadores
Descrio: Roteador da sede
3.
4.
1-41
Use o console do IPAM para criar uma reserva de DHCP do seguinte modo:
o
Endereo IP: 172.16.0.10
Endereo MAC: 223344556677
Tipo de dispositivo: Host
Nome do servidor de reserva: LON-DC1.Adatum.com
Nome da reserva: Webserver
Tipo de reserva: Ambos
Use o console do IPAM para criar o registro de host DNS do seguinte modo:
o
Nome do dispositivo: Webserver
Zona de pesquisa direta: Adatum.com
Servidor primrio de pesquisa direta: LON-DC1.adatum.com
5.
Clique com o boto direito do mouse na entrada de IPv4 e crie a reserva de DHCP e o registro
de host DNS.
6.
Em LON-DC1, abra o console DHCP e confirme se a reserva foi criada no escopo 172.16.0.0.
7.
Em LON-DC1, abra o console do Gerenciador DNS e confirme se o registro de host DNS foi criado.
Resultados: Depois de concluir este exerccio, voc ter instalado e configurado o IPAM com GPOs
relacionados ao IPAM, descoberta de servidor de gerenciamento de IP, servidores gerenciados, um
novo escopo DHCP, blocos de endereo IP, endereos IP, reservas de DHCP e registros de DNS.
Para se preparar para o prximo mdulo

1.
No computador host, inicie o Gerenciador Hyper-V.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24412B-LON-DC1 e clique
em Reverter.
3.
Na caixa de dilogo Reverter Mquina Virtual, clique em Reverter.
4.
Repita as etapas 2 e 3 para 24412B-LON-SVR1, 24412B-LON-SVR2 e 24412B-LON-CL1.

Prtica recomendada:
Implemente o failover de DHCP para garantir que os computadores cliente possam continuar
recebendo informaes de configurao de IP no caso de uma falha de servidor.
Verifique se h pelo menos dois servidores DNS hospedando cada zona.
Use o IPAM para controlar a distribuio de endereos IP e atribuies de endereo esttico.
Problemas comuns e dicas de soluo de problemas

Problema comum
Dica para a soluo de problemas
Os usurios no podem mais acessar o site de um

fornecedor que podiam acessar historicamente.
Os servidores gerenciados no podem se conectar
ao servidor IPAM.
Perguntas de reviso
Pergunta: Qual uma das desvantagens de usar o IPAM?
Problemas e cenrios reais

Pergunta: Alguns clientes de rede esto recebendo a configurao de DHCP incorreta.
Qual ferramenta voc deve usar para comear o processo de soluo de problemas?
Pergunta: Quais so algumas possveis causas das configuraes incorretas?
Ferramentas
Ferramenta
Uso
Local
Dnscmd
Configure todos os aspectos

do gerenciamento de DNS
%systemroot%\System32\dnscmd.exe
Console DHCP
Controle todos os aspectos

do gerenciamento de DHCP
de uma interface do usurio
%systemroot%\System32\dhcpmgmt.msc
Console de DNS

do gerenciamento de DNS
de uma interface do usurio
%systemroot%\System32\dnsmgmt.msc
Console de
gerenciamento
do IPAM

do gerenciamento de IPAM
Gerenciador do Servidor
2-1
Mdulo 2
Implementao de servios de arquivo avanados
Contedo:
Lio 1: Configurao do armazenamento iSCSI
2-2
Lio 2: Configurao de BranchCache
2-10
Lio 3: Otimizao do uso de armazenamento
2-19
Laboratrio A: Implementao de servios de arquivo avanados
2-26
2-33
2-39
Viso geral do mdulo

Os requisitos de espao de armazenamento tm aumentado desde o comeo de compartilhamentos
de arquivo baseados em servidor. Os sistemas operacionais Windows Server 2012 e Windows 8
incluem dois novos recursos, Eliminao de duplicao de dados e Espaos de Armazenamento,
para reduzir o espao em disco que necessrio e gerenciar discos fsicos efetivamente. Este mdulo
fornece uma viso geral desses recursos e explica as etapas necessrias para configur-los.
Alm de minimizar o espao em disco, outra preocupao de armazenamento a conexo entre o
armazenamento e os discos remotos. O armazenamento iSCSI (Internet Small Computer System Interface)
no Windows Server 2012 um recurso econmico que ajuda a criar uma conexo entre os servidores e
o armazenamento. Para implementar o armazenamento iSCSI no Windows Server 2012, voc deve estar
familiarizado com a arquitetura e os componentes de iSCSI. Alm disso, voc deve estar familiarizado
com as ferramentas que so fornecidas no Windows Server para implementar um armazenamento
baseado em iSCSI.
Em organizaes com filiais, voc tem que considerar links lentos e como usar esses links com eficincia
ao enviar dados entre seus escritrios. O recurso Windows BranchCache no Windows Server 2012
ajuda a resolver o problema de conectividade lenta. Este mdulo explica o recurso BranchCache
e como configur-lo.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Configurar o armazenamento iSCSI.
Configurar o BranchCache.
Otimizar o uso de armazenamento.
Implementar servios de arquivo avanados.
2-2
Lio 1
Configurao do armazenamento iSCSI

O armazenamento iSCSI um modo barato e simples de configurar uma conexo com discos
remotos. Muitos requisitos de aplicativo dizem que as conexes de armazenamento remoto devem
ser redundantes por natureza para tolerncia a falhas ou alta disponibilidade. Alm disso, muitas
empresas j tm redes tolerantes a falhas, nas quais barato mant-las redundantes ao invs de
usar SANs (redes de rea de armazenamento). Nesta lio, voc saber como criar uma conexo
entre servidores e armazenamento iSCSI. Voc executar essas tarefas usando armazenamento iSCSI
baseado em IP. Voc tambm saber como criar conexes nicas e redundantes com um destino iSCSI.
Voc praticar isso usando o software de iniciador iSCSI que est disponvel no Windows Server 2012.
Objetivos da lio
Ao concluir esta lio, voc ser capaz de:
Descrever o iSCSI e seus componentes.
Descrever o servidor de destino iSCSI e o iniciador iSCSI.
Descrever as opes para implementar alta disponibilidade para iSCSI.
Descrever opes de segurana iSCSI.
Explicar como configurar o destino iSCSI.
Explicar como conectar o armazenamento iSCSI.
Descrever consideraes para implementar a soluo de armazenamento iSCSI.
O que iSCSI?
ISCSI um protocolo que suporta acesso
a dispositivos de armazenamento remotos
com base em SCSI (interface de sistema
de computadores de pequeno porte)
sobre uma rede TCP/IP. iSCSI leva comandos SCSI
padro sobre redes IP para facilitar transferncias
de dados sobre intranets e gerenciar o
armazenamento sobre distncias longas. Voc
pode usar iSCSI para transmitir dados sobre LANs
(redes locais), WANs (redes de longa distncia)
ou at mesmo sobre a Internet.
2-3
O iSCSI usa a arquitetura padro de rede Ethernet. Hardware especializado como HBA (adaptadores
de barramento de host) ou comutadores de rede opcional. O iSCSI usa TCP/IP (normalmente, porta
TCP 3260). Isto significa que o iSCSI simplesmente permite que dois hosts negociem tarefas (por exemplo,
estabelecimento de sesso, controle de fluxo e tamanho de pacote), e troquem comandos SCSI usando
uma rede Ethernet existente. Fazendo isso, o iSCSI usa uma arquitetura de subsistema de barramento
de armazenamento local popular e de alto desempenho, e emula isso sobre LANs e WANs para criar
uma SAN. Ao contrrio de algumas tecnologias de SAN, o iSCSI no requer nenhum cabeamento
especializado. Voc pode execut-lo sobre a comutao e infraestrutura de IP existentes. Porm,
voc pode aumentar o desempenho de uma implantao de SAN iSCSI operando-a em uma
rede ou sub-rede dedicada, como recomendam as prticas recomendadas.
Observao: Embora voc possa usar um adaptador de rede Ethernet padro
para conectar o servidor ao dispositivo de armazenamento iSCSI, tambm pode usar
HBAs iSCSI dedicados.
Uma implantao de SAN iSCSI inclui o seguinte:
Rede TCP/IP. Voc pode usar adaptadores de interface de rede padro e comutadores de rede
do protocolo de Ethernet padro para conectar os servidores ao dispositivo de armazenamento.
Para fornecer desempenho suficiente, a rede deve fornecer velocidades de pelo menos 1 Gbps
(gigabit por segundo) e deve fornecer vrios caminhos ao destino iSCSI. Como prtica recomendada,
use uma rede fsica e lgica dedicada para obter processamento rpido e confivel.
Destinos iSCSI. Este outro mtodo de obter acesso ao armazenamento. Os destinos iSCSI
apresentam ou anunciam armazenamento, semelhante aos controladores para unidades de disco
rgido de armazenamento localmente anexado. Porm, esse armazenamento acessado em uma
rede, em vez de localmente. Muitos fornecedores de armazenamento implementam destinos iSCSI
no nvel de hardware como parte do hardware do dispositivo de armazenamento. Outros dispositivos
ou aparelho, como dispositivos Windows Storage Server 2012, implementam destinos iSCSI usando
um driver de software junto com pelo menos um adaptador de Ethernet. O Windows Server 2012
fornece o servidor de destinos iSCSI, que efetivamente um driver para o protocolo iSCSI, como
um servio de funo.
Iniciadores iSCSI. O destino iSCSI exibe o armazenamento ao iniciador iSCSI (tambm conhecido
como o cliente), que age como um controlador de disco local para os discos remotos. Todas as
verses do Windows Server a partir do Windows Server 2008 incluem o iniciador iSCSI e podem
conectar-se a destinos iSCSI.
IQN (Nome Qualificado iSCSI). IQNs so identificadores globalmente exclusivos que so usados para
enderear os iniciadores e destinos em uma rede iSCSI. Quando voc configura um destino iSCSI,
deve configurar o IQN para os iniciadores iSCSI que sero conectados ao destino. Os iniciadores
iSCSI tambm usam IQNs para conectar-se aos destinos iSCSI. Porm, se a resoluo de nomes na
rede iSCSI for um possvel problema, os pontos de extremidade iSCSI (destino e iniciador) sempre
podero ser identificados por seus endereos IP.
Pergunta: Voc pode usar a rede TCP/IP interna de sua organizao para fornecer iSCSI?
2-4
Servidor de destino iSCSI e iniciador iSCSI

O servidor de destino iSCSI e o iniciador iSCSI
so descritos abaixo.
Servidor de destino iSCSI

O servio de funo de servidor de destino iSCSI
fornece subsistemas de disco iSCSI baseados
em software e independentes de hardware.
Voc pode usar o servidor de destino iSCSI
para criar destinos iSCSI e discos virtuais iSCSI.
Voc pode usar o Gerenciador do Servidor para
gerenciar esses destinos e discos virtuais iSCSI.
O servidor de destino iSCSI que includo no
Windows Server 2012 fornece a seguinte funcionalidade:
Inicializao de rede/sem disco. Usando adaptadores de rede de inicializao ou um carregador de

software, voc pode usar destinos iSCSI para implantar servidores sem disco rapidamente. Usando
discos virtuais diferentes, voc pode economizar at 90% do espao de armazenamento para as
imagens do sistema operacional. Isso ideal para implantaes grandes de imagens de sistema
operacional idnticas, como um farm de servidores Hyper-V ou clusters de HPC (computao
de alto desempenho).
Armazenamento de aplicativos de servidor. Alguns aplicativos como o Hyper-V e o

Microsoft Exchange Server precisam de armazenamento de bloco. O servidor de destino iSCSI
pode proporcionar a esses aplicativos armazenamento de bloco disponvel continuamente.
Como o armazenamento acessado remotamente, tambm pode combinar armazenamento
de bloco para sedes ou filiais.
Armazenamento heterogneo. O servidor de destino iSCSI suporta iniciadores iSCSI que no esto
baseados no sistema operacional Windows, de modo que voc pode compartilhar armazenamento
em servidores Windows em ambientes mistos.
Ambientes de laboratrio. A funo do servidor de destino iSCSI permite que seus computadores
Windows Server 2012 sejam dispositivos de armazenamento de bloco acessados pela rede. Isso
til em situaes nas quais voc deseja testar aplicativos antes de implant-los no armazenamento
de SAN.
Os servidores de destino iSCSI que fornecem armazenamento de bloco utilizam sua rede Ethernet
existente; nenhum hardware adicional necessrio. Se alta disponibilidade for um critrio importante,
avalie a possibilidade de configurar um cluster de alta disponibilidade. Com um cluster de alta
disponibilidade, voc precisar de armazenamento compartilhado para o cluster, armazenamento
Fiber Channel de hardware ou uma matriz de armazenamento SAS (SCSI Anexada Serial). O servidor
de destino iSCSI integrado diretamente no recurso de cluster de failover como uma funo de cluster.
Iniciador iSCSI
O servio de iniciador iSCSI tem sido um componente padro instalado por padro desde o
Windows Server 2008 e o Windows Vista. Para conectar seu computador a um destino iSCSI,
voc simplesmente inicia o servio Iniciador Microsoft iSCSI e o configura.
Os novos recursos do Windows Server 2012 incluem:
Autenticao. Voc pode permitir que o CHAP autentique conexes de iniciador ou pode ativar
o CHAP inverso para permitir que o iniciador autentique o destino iSCSI.
Consulte o computador de iniciador para ID. Isso s permitido no Windows 8

ou no Windows Server 2012.
Leitura adicional: Para obter mais informaes sobre a introduo de destinos iSCSI
no Windows Server 2012, consulte: http://go.microsoft.com/fwlink/?LinkId=270038.
Pergunta: Quando voc pensa em implementar a inicializao sem disco a partir
de destinos iSCSI?
Opes para implementar alta disponibilidade para iSCSI

Alm de definir as configuraes bsicas
de servidor de destino iSCSI e de iniciador
iSCSI, voc pode integrar esses servios
em configuraes mais avanadas.
Configurao de iSCSI para

alta disponibilidade
Criar uma nica conexo com armazenamento
iSCSI disponibiliza esse armazenamento.
Porm, isso no faz com que esse armazenamento
seja altamente disponvel. Se o iSCSI perder
a conexo, o servidor perder o acesso a seu
armazenamento. Portanto, a maioria das conexes
de armazenamento iSCSI tornam-se redundantes por uma de duas tecnologias de alta disponibilidade:
MCS (Vrias Sesses Conectadas) e MPIO (Entrada/sada (E/S) de vrios caminhos).
Embora sejam semelhantes nos resultados obtidos, essas duas tecnologias usam abordagens diferentes
para obter alta disponibilidade para conexes de armazenamento iSCSI.
MCS um recurso do protocolo iSCSI que:
Habilita vrias conexes TCP/IP do iniciador para o destino durante a mesma sesso iSCSI.
Suporta o failover automtico. Se ocorrer uma falha, todos os comandos iSCSI sero redistribudos
para outra conexo automaticamente.
Requer suporte explcito por dispositivos SAN iSCSI, embora a funo de servidor de destino iSCSI
do Windows Server 2012 oferea suporte a isso.
2-5
2-6
MPIO fornece redundncia de modo diferente:
Se voc tiver vrias NICs (cartes de interface de rede) em seu iniciador iSCSI e o servidor de destino
iSCSI, poder usar MPIO para fornecer redundncia de failover durante interrupes de rede.
MPIO precisar de um DSM (mdulo especfico do dispositivo) se voc desejar conectar-se a

um dispositivo SAN de terceiros que est conectado ao iniciador iSCSI. O sistema operacional
Windows inclui um DSM MPIO padro que instalado como o recurso MPIO no Gerenciador
do Servidor.
MPIO amplamente aceito. Muitas SANs podem usar o DSM padro sem nenhum software adicional,
enquanto outras precisam de um DSM especializado do fabricante.
MPIO mais complexo de configurar e no completamente automatizado durante

o failover como MCS.
Opes de segurana iSCSI

Como iSCSI um protocolo que fornece acesso
a dispositivos de armazenamento sobre uma
rede TCP/IP, crucial que voc proteja sua
soluo iSCSI contra usurios mal-intencionados
ou ataques. Voc pode reduzir os riscos para sua
soluo iSCSI fornecendo segurana em vrias
camadas de infraestrutura. A termo proteo
em camadas geralmente usado para descrever
o uso de vrias tecnologias de segurana
em pontos diferentes de sua organizao.
A estratgia de segurana de proteo
em camadas inclui:
Polticas, procedimentos e conhecimento. Como prtica recomendada de segurana, medidas

de poltica de segurana precisam operar dentro do contexto das polticas organizacionais.
Por exemplo, avalie a possibilidade de impor uma poltica de senha de usurio forte em toda a
organizao, mas tenha uma poltica de senha de administrador ainda mais forte para acessar
dispositivos de armazenamento iSCSI e computadores que tm o software de gerenciamento
iSCSI instalado.
Segurana fsica. Se alguma pessoa sem autorizao obtiver acesso fsico a dispositivos
de armazenamento iSCSI ou um computador em sua rede, a maioria das outras medidas
de segurana no sero teis. Voc deve garantir que os dispositivos de armazenamento iSCSI,
os computadores que os gerenciam e os servidores aos quais eles so conectados sejam
fisicamente protegidos e que o acesso seja concedido somente equipe autorizada.
Permetro. As redes de permetro marcam o limite entre redes pblicas e privadas. Fornecer
firewalls e servidores proxy inversos na rede de permetro permite fornecer servios corporativos
mais seguros na rede pblica e impede possveis ataques nos dispositivos de armazenamento
iSCSI na Internet.
Redes. Assim que voc conecta dispositivos de armazenamento iSCSI a uma rede, eles ficam
suscetveis a vrias ameaas. Essas ameaas incluem interceptao, falsificao, negao de servio
e ataques de reproduo. Voc deve usar autenticao como CHAP para proteger comunicao
entre iniciadores iSCSI e destinos iSCSI. Voc tambm pode pensar em implementar o protocolo
IPsec para criptografar o trfego entre iniciadores iSCSI e destinos iSCSI. Isolar o trfego iSCSI
em sua prpria VLAN (LAN virtual) tambm fortalece a segurana no permitindo que usurios
mal-intencionados que esto conectados VLAN corporativa ataquem dispositivos de
armazenamento iSCSI que esto conectados a um VLAN diferente. Voc tambm deve
proteger equipamentos de rede (como roteadores e comutadores), que so usados
por dispositivos de armazenamento iSCSI, contra o acesso no autorizado.
Host. A prxima camada de proteo a camada de proteo para os computadores host que
so conectados a dispositivos de armazenamento iSCSI. Voc deve manter os computadores
protegidos usando as mais recentes atualizaes de segurana. Voc deve usar o recurso
Windows Update consistentemente em sistemas operacionais Windows para manter seu
sistema operacional atualizado. Voc tambm precisa configurar polticas de segurana
como complexidade de senha, configurar o firewall de host e instalar software antivrus.
Aplicativos. Os aplicativos s so protegidos quando possuem a mais recente atualizao

de segurana. Para aplicativos executados em seus servidores, mas no integrados no
Windows Update, voc deve verificar regularmente as atualizaes de segurana emitidas
pelo fornecedor do aplicativo. Voc tambm deve atualizar o software de gerenciamento
iSCSI de acordo com as recomendaes do fornecedor e as prticas recomendadas.
Dados. Esta a camada final de segurana. Para ajudar a proteger sua rede, verifique se voc
est usando as permisses de usurio de arquivo corretamente. Faa isso usando a Criptografia
de Unidade Windows BitLocker, usando ACLs (Listas de Controle de Acesso), implementando
a criptografia de dados confidenciais com EFS (Sistema de Arquivos com Criptografia)
e executando backups regulares de dados.
Demonstrao: Configurao de um destino iSCSI

Nesta demonstrao, voc ver como:
Adicionar o servio de funo de servidor de destino iSCSI.
Criar dois discos virtuais iSCSI e um destino iSCSI.
Adicionar o servio de funo de servidor de destino iSCSI
1.
Em LON-DC1, abra o Gerenciador do Servidor.
2.
No Assistente de Adio de Funes e Recursos, instale as seguintes funes e recursos no servidor

local e aceite os valores padro:
o
Servios de Arquivo e Armazenamento (instalados)\Arquivo e Servios iSCSI\Servidor

de Destino iSCSI
2-7
2-8
Criar dois discos virtuais iSCSI e um destino iSCSI

1.
Em LON-DC1, no Gerenciador do Servidor, no painel de navegao, clique em Servios de Arquivo

e Armazenamento e clique em iSCSI.
2.
No painel DISCOS VIRTUAIS iSCSI, clique em TAREFAS e, na caixa de listagem suspensa TAREFAS,
clique em Novo Disco Virtual iSCSI.
3.
Crie um disco virtual com as seguintes configuraes:

o
Nome: iSCSIDisk1
Tamanho do disco: 5 GB
Destino iSCSI: Novo
Nome de destino: LON-SVR2
Servidores de acesso: 172.16.0.22
4.
Na pgina Exibir resultados, espere at a criao terminar e feche a pgina Exibir resultados.
5.
No painel DISCOS VIRTUAIS iSCSI, clique em TAREFAS e, na lista suspensa TAREFAS, clique em
Novo Disco Virtual iSCSI.
6.
Crie um disco virtual com estas configuraes:
7.
Nome: iSCSIDisk2
Tamanho do disco: 5 GB
Destino iSCSI: LON-SVR2
Na pgina Exibir resultados, espere at a criao terminar e feche a pgina Exibir resultados.
Demonstrao: Conexo ao armazenamento iSCSI

Conectar ao destino iSCSI.
Verificar a presena da unidade iSCSI.
Etapas de preparao
Antes de iniciar esta demonstrao, execute as etapas a seguir:
1.
No computador host, no console Gerenciador Hyper-V, abra as configuraes para a mquina

virtual 24412B-LON-SVR2.
2.
Na janela Configuraes de 24412B-LON-SVR2, verifique se ambos os adaptadores de rede

herdados esto conectados a Rede Privada.
3.
Se um adaptador de rede herdado tiver um status No conectado, conecte-o rede virtual

chamada Rede Privada.
Conectar ao destino iSCSI

1.
Entre em LON-SVR2 com o nome de usurio Adatum\Administrador e a senha Pa$$w0rd.
2.
Abra o Gerenciador do Servidor e, no menu Ferramentas, abra Iniciador iSCSI.
3.
Na caixa de dilogo Propriedades do Iniciador iSCSI, configure o seguinte:

o
Conectar rpido: LON-DC1
Descobrir destinos: iqn.1991-05.com.microsoft:lon-dc1-lon-svr2-target
Verificar a presena da unidade iSCSI

1.
Em Gerenciador do Servidor, no menu Ferramentas, abra Gerenciamento do Computador.
2.
No console Gerenciamento do Computador, no n Armazenamento, acesse Gerenciamento

de Disco. Note que os novos discos so adicionados. Porm, todos eles esto atualmente offline
e no formatados.
3.
Feche o console Gerenciamento do Computador.
Consideraes para implementar o armazenamento iSCSI

Ao criar sua soluo de armazenamento iSCSI,
considere as seguintes prticas recomendadas:
Implante a soluo iSCSI em redes

de pelo menos 1 Gbps.
Design de alta disponibilidade para

infraestrutura de rede crucial porque os
dados de servidores para armazenamento
iSCSI so transferidos por dispositivos de
rede e componentes. As consideraes
de alta disponibilidade foram explicadas
anteriormente neste mdulo.
Crie uma estratgia de segurana apropriada para a soluo de armazenamento iSCSI.

As consideraes e recomendaes de segurana foram explicadas anteriormente neste mdulo.
Leia as prticas recomendadas especficas do fornecedor para tipos diferentes de implantaes

e aplicativos que usaro a soluo de armazenamento iSCSI, como o Exchange Server
e o Microsoft SQL Server.
A equipe de TI que criar, configurar e administrar a soluo de armazenamento iSCSI deve

incluir os administradores de TI de reas diferentes de especializao, como administradores
do Windows Server 2012, administradores de rede, administradores de armazenamento e
administradores de segurana. Isso necessrio de forma que a soluo de armazenamento
iSCSI tenha um timo desempenho e segurana e tenha procedimentos consistentes
de gerenciamento e de operaes.
Ao criar uma soluo de armazenamento iSCSI, a equipe de design tambm deve incluir
os administradores especficos do aplicativo, como administradores do Exchange Server
e administradores do SQL Server, de forma que voc possa implementar a configurao
ideal para a tecnologia ou soluo especfica.
2-9
2-10 Implementao de servios de arquivo avanados
Lio 2
Configurao de BranchCache
Filiais tm desafios de gerenciamento exclusivos. Uma filial geralmente tem conectividade lenta com a
rede da empresa e infraestrutura limitada para proteger servidores. Alm disso, voc precisa fazer backup
dos dados que mantm em suas filiais remotas, motivo pelo qual as organizaes preferem centralizar
dados onde possvel. Portanto, o desafio fornecer acesso eficiente a recursos de rede para usurios
em filiais. O BranchCache ajuda a superar esses problemas armazenando em cache os arquivos para
que eles no tenham que ser transferidos repetidamente sobre a rede.
Objetivos da lio
Descrever o funcionamento do BranchCache.
Descrever os requisitos do BranchCache.
Explicar como definir as configuraes do servidor BranchCache.
Explicar como definir as configuraes do cliente do BranchCache.
Explicar como configurar o BranchCache.
Explicar como monitorar o BranchCache.
Como funciona o BranchCache?

O recurso BranchCache introduzido no
Windows Server 2008 R2 e no Windows 7 reduz
o uso de rede em conexes WAN entre filiais e
sedes armazenando em cache localmente arquivos
usados com frequncia em computadores na filial.
O BranchCache melhora o desempenho de
aplicativos que usam um dos protocolos a seguir:
Protocolos HTTP ou HTTPS. Esses protocolos

so usados por navegadores de Web
e outros aplicativos.
SMB (Bloco de mensagens de servidor),

incluindo o protocolo de trfego de SMB
assinado. Esse protocolo usado para acessar pastas compartilhadas.
BITS (Servio de Transferncia Inteligente em Segundo Plano). Um componente do Windows que

distribui contedo de um servidor para clientes usando somente largura de banda de rede ociosa.
O BITS tambm um componente usado pelo Microsoft System Center Configuration Manager.
2-11
Quando o cliente solicita os dados, o BranchCache recupera dados de um servidor. Como o BranchCache
um cache passivo, ele no aumentar o uso de WAN. O BranchCache s armazena em cache solicitaes
lidas e no interferir na ao quando um usurio salvar um arquivo.
O BranchCache melhora a resposta de aplicativos de rede comuns que acessam servidores de intranet
em links WAN lentos. Como o BranchCache no exige infraestrutura adicional, voc pode melhorar
o desempenho de redes remotas implantando o Windows 7 ou Windows 8 em computadores cliente
e implantando o Windows Server 2008 R2 e o Windows Server 2012 em servidores e habilitando
o recurso BranchCache.
O BranchCache funciona perfeitamente com tecnologias de segurana de rede, incluindo SSL (Secure
Sockets Layer), assinatura SMB e protocolo IPsec. Voc pode usar o BranchCache para reduzir o uso
de largura de banda de rede e melhorar o desempenho do aplicativo, mesmo que o contedo esteja
criptografado.
Voc pode configurar o BranchCache para usar o modo de cache hospedado modo ou o modo de cache
distribudo:
Modo de cache hospedado. Este modo implanta um computador que est executando o
Windows Server 2008 R2 ou verses mais recentes como um servidor de cache hospedado na filial.
Os computadores cliente localizam o computador host, de forma que possam recuperar contedo
do cache hospedado quando estiver disponvel. Se o contedo no estiver disponvel no cache
hospedado, o contedo ser recuperado do servidor de contedo usando um link WAN e fornecido
para o cache hospedado, de modo que as solicitaes de cliente sucessivas possam recuper-lo de l.
Modo de cache distribudo. Para escritrios remotos menores, voc pode configurar o BranchCache
no modo de cache distribudo sem precisar de um servidor. Neste modo, computadores cliente locais
que executam o Windows 7 ou Windows 8 mantm uma cpia do contedo e o tornam disponvel
a outros clientes autorizados que solicitam os mesmos dados. Isto elimina a necessidade de ter um
servidor na filial. Porm, ao contrrio do modo de cache hospedado, essa configurao funciona
somente em uma nica sub-rede. Alm disso, os clientes que hibernam ou se desconectam da rede
no podem fornecer contedo a outros clientes que fazem a solicitao.
Observao: Ao usar o BranchCache, voc pode usar ambos os modos em sua

organizao, mas pode configurar s um modo por filial.
A funcionalidade do BranchCache no Windows Server 2012 tem as seguintes melhorias:
Para permitir dimensionamento, o BranchCache permite mais de um servidor de cache hospedado

por local.
Um novo banco de dados subjacente usa a tecnologia de banco de dados ESE (Mecanismo de
Armazenamento Extensvel) do Exchange Server. Isso permite que um servidor de cache hospedado
armazene significativamente mais dados (at mesmo terabytes).
Uma implantao mais simples significa que voc no precisa de um GPO (Objeto de Poltica de
Grupo) para cada local. Para implantar o BranchCache, voc precisa s de um nico GPO que contm
as configuraes. Isso tambm permite aos clientes alternar entre modo de cache hospedado e modo
distribudo quando eles estiverem viajando entre locais, sem precisar usar GPOs especficos do site,
o que deve ser evitado em vrios cenrios.
Como computadores cliente recuperam dados usando o BranchCache

Quando o BranchCache est habilitado no computador cliente e no servidor, e quando o computador
cliente est usando o protocolo HTTP, HTTPS ou SMB, o computador cliente executa o seguinte processo
para recuperar dados:
1.
O computador cliente que est executando o Windows 8 conecta-se a um computador servidor

de contedo na sede que est executando o Windows Server 2012 e solicita contedo de maneira
semelhante a como faria para recuperar contedo sem usar o BranchCache.
2.
O servidor de contedo na matriz autentica o usurio e verifica se o usurio est autorizado a acessar
os dados.
3.
Em vez de enviar o contedo por sua conta, o servidor de contedo na matriz retorna identificadores
ou realiza hash do contedo solicitado para o computador cliente. O servidor de contedo envia
dados atravs da mesma conexo pela qual o contedo seria enviado normalmente.
4.
Usando os identificadores recuperados, o computador cliente faz o seguinte:

o
Se voc configurar o computador cliente para usar o cache distribudo, ele usar multicasts
na sub-rede local para localizar outros computadores cliente que j baixaram o contedo.
Se voc configurar o computador cliente para usar cache hospedado, ele procurar o contedo
no cache hospedado configurado.
5.
Se o contedo estiver disponvel na filial, em um ou mais clientes ou no cache hospedado,

o computador cliente recuperar os dados da filial. O computador cliente tambm garante
que os dados sejam atualizados e no sejam adulterados nem corrompidos.
6.
Se o contedo no estiver disponvel no escritrio remoto, o computador cliente recuperar o

contedo diretamente do servidor pelo link WAN. O computador cliente ento ou o disponibiliza
na rede local para outros computadores cliente que fazem a solicitao (modo de cache distribudo)
ou o envia para o cache hospedado, onde disponibilizado a outros computadores cliente.
Requisitos do BranchCache
O BranchCache otimiza o fluxo de trfego entre
matrizes e filiais. O Windows Server 2008 R2,
o Windows Server 2012 e computadores cliente
que executam o Windows 7 e o Windows 8
podem se beneficiar com o uso do BranchCache.
As verses anteriores dos sistemas operacionais
Windows no se beneficiam deste recurso. Voc
pode usar o BranchCache para armazenar em
cache s o contedo que armazenado em
servidores de arquivos ou servidores Web que
esto executando o Windows Server 2008 R2
ou o Windows Server 2012.
2-13
Requisitos para a utilizao do BranchCache

Para usar o BranchCache para servios de arquivo, voc deve executar as seguintes tarefas:
Instale o recurso BranchCache ou o recurso BranchCache para o servio de funo Arquivos

de Rede no servidor host que est executando o Windows Server 2012.
Configure computadores cliente, usando Poltica de Grupo ou o comando

netsh branchcache set service.
Se voc desejar usar o BranchCache para armazenar em cache o contedo do servidor de arquivos,
execute as seguintes tarefas:
Instale o BranchCache para o servio de funo Arquivos de Rede no servidor de arquivos.
Configure a publicao de hash para BranchCache.
Crie compartilhamentos de arquivos habilitados para BranchCache.
Se voc quiser usar o BranchCache para armazenar em cache contedo do servidor Web, dever instalar
o recurso BranchCache no servidor Web. Voc no precisa de configuraes adicionais.
O BranchCache suportado na instalao completa e na instalao Server Core do Windows Server 2012.
Por padro, o BranchCache no instalado no Windows Server 2012.
Requisitos para os modos de cache distribudo e hospedado

No modo de cache distribudo, o BranchCache funciona sem um servidor dedicado, mas entre clientes
no mesmo site. Se os computadores cliente forem configurados para usar o modo de cache distribudo,
qualquer computador cliente poder usar um protocolo multicast chamado Descoberta WS para procurar
localmente o computador que j baixou e armazenou em cache o contedo. Voc deve configurar
o firewall do cliente para permitir trfego de entrada, HTTP e Descoberta WS.
Porm, os clientes procuraro um servidor de cache hospedado e, se descobrirem um, sero configurados
automaticamente como clientes de modo de cache hospedado. No modo de cache hospedado, os
computadores cliente se configuram automaticamente como clientes de modo de cache hospedado e
procuraro o servidor de host, de forma que possam recuperar o contedo do cache hospedado. Alm
disso, voc pode usar a Poltica de Grupo para poder usar o FQDN dos servidores de cache hospedado
ou habilitar a descoberta automtica de cache hospedado atravs de SCPs (pontos de conexo de
servio). Voc deve configurar um firewall para permitir o trfego HTTP de entrada do servidor
de cache hospedado.
Em ambos os modos de cache, o BranchCache usa o protocolo HTTP para transferncia de dados
entre computadores cliente e o computador que est hospedando os dados armazenados em cache.
Definio das configuraes do servidor BranchCache

Voc pode usar o BranchCache para armazenar
em cache contedo de Web, que fornecido
por HTTP ou HTTPS. Voc tambm pode usar
o BranchCache para armazenar em cache
contedo de pasta compartilhada, que
fornecido pelo protocolo SMB.
A tabela a seguir lista os servidores que podem
ser configurados para o BranchCache.
Servidor
Descrio
Servidor da Web ou servidor BITS
Para configurar um servidor Web do Windows Server 2012 ou

um servidor de aplicativos que usa o protocolo BITS, instale o
recurso BranchCache. Verifique se o servio BranchCache foi
iniciado. Depois, configure os clientes que usaro o recurso
BranchCache. Nenhuma configurao de servidor Web
adicional necessria.
Servidor de arquivos
Instale o servio de funo BranchCache para Arquivos de Rede

da funo de servidor Servios de Arquivo antes de habilitar
o BranchCache para qualquer compartilhamento de arquivos.
Depois que voc instalar o BranchCache para o servio de
funo Arquivos de Rede, use Poltica de Grupo para habilitar
BranchCache no servidor. Voc deve configurar cada
compartilhamento de arquivos para habilitar o BranchCache.
Servidor de cache hospedado
Para o modo de cache hospedado, voc deve adicionar o

recurso BranchCache ao servidor Windows Server 2012 que
est configurando como um servidor de cache hospedado.
Para ajudar a proteger a comunicao, os computadores cliente
usam o Protocolo TLS para se comunicarem com o servidor
de cache hospedado.
Por padro, o BranchCache aloca cinco por cento de espao em
disco na partio ativa para hospedar dados de cache. Porm,
voc pode alterar esse valor usando a Poltica de Grupo ou
executando o comando netsh branchcache set cachesize.
2-15
Definio das configuraes do cliente BranchCache

Voc no ter que instalar o recurso BranchCache
em computadores cliente, pois o BranchCache j
estar includo se o cliente estiver executando
Windows 7 ou Windows 8. Porm, o BranchCache
desabilitado por padro em computadores
cliente. Para habilitar e configurar o BranchCache,
ser necessrio executar estas etapas:
1.
Habilitar o BranchCache.
2.
Habilitar o modo de cache distribudo ou

o modo de cache hospedado. Os clientes
do Windows 8 podem usar qualquer modo
dinamicamente.
3.
Configurar o firewall do cliente para habilitar os protocolos do BranchCache.
Habilitao do BranchCache
Voc pode habilitar o recurso BranchCache em computadores cliente usando a Poltica de Grupo,
o Windows PowerShell ou o comando netsh branchcache set service.
Para definir configuraes de BranchCache usando a Poltica de Grupo, execute as etapas a seguir
para um GPO baseado em domnio:
1.
Abra o Console de Gerenciamento de Poltica de Grupo.
2.
Crie um GPO que ser vinculado OU (unidade organizacional) onde os computadores cliente
esto localizados.
3.
Em um GPO, navegue at Configurao do Computador\Polticas\Modelos Administrativos:

Definies de poltica (arquivos ADMX) recuperadas de computador local\Rede e clique
em BranchCache.
4.
Habilite a configurao Ativar o BranchCache no GPO.
Habilitando o modo de Cache Distribudo ou o modo de Cache Hospedado

Voc pode configurar o modo BranchCache em computadores cliente usando a Poltica de Grupo,
o Windows PowerShell ou o comando netsh branchcache set service.
Para configurar o modo BranchCache usando a Poltica de Grupo, execute as etapas a seguir para
um GPO baseado em domnio:
1.
Abra o Console de Gerenciamento de Poltica de Grupo.
2.
Crie um GPO que ser vinculado OU onde os computadores cliente esto localizados.
3.
Em um GPO, navegue at Configurao do Computador\Polticas\Modelos Administrativos:

Definies de poltica (arquivos ADMX) recuperadas de computador local\Rede e clique em
BranchCache.
4.
Escolha o modo de cache distribudo ou o modo de cache hospedado. Voc tambm pode habilitar o
modo de cache distribudo e a descoberta automtica de cache hospedado atravs das configuraes
de poltica Ponto de Conexo de Servio. Os computadores cliente operaro em modo de cache
distribudo a menos que localizem um servidor de cache hospedado na filial. Se eles localizarem
um servidor de cache hospedado na filial, funcionaro no modo de cache hospedado.
Para habilitar o BranchCache com Windows PowerShell, use os cmdlets Enable-BCDistributed ou

Enable-BCHostedServer. Voc tambm pode usar o cmdlet Enable-BCHostedClient para configurar
o BranchCache para operar no modo de cliente de cache hospedado.
Por exemplo, o cmdlet a seguir habilita o modo de cliente de cache hospedado usando o computador
SRV1.adatum.com como um servidor de cache hospedado para clientes Windows 7 e HTTPS.
Enable-BCHostedClient ServerNames SRV1.adatum.com UseVersion Windows7
O cmdlet a seguir habilita o modo de cache hospedado e o ponto de conexo de servio do registrador
em AD DS (Servios de Domnio do Active Directory).
Enable-BCHostedServer RegisterSCP
O cmdlet a seguir habilita o modo de cache distribudo no servidor.

Enable-BCDistributed
Para definir configuraes de BranchCache usando o comando netsh branchcache set service, abra
uma janela de prompt de comando e execute as etapas a seguir:
1.
Digite a sintaxe netsh a seguir para o modo de cache distribudo:

netsh branchcache set service mode=distributed
2.
Digite a sintaxe netsh a seguir para o modo hospedado:

netsh branchcache set service mode=hostedclient location=<servidor de cache
hospedado>
Configurao do firewall do cliente para habilitar os protocolos do BranchCache

No modo de cache distribudo, os clientes do BranchCache usam o protocolo HTTP para transferncia
de dados entre computadores cliente e o protocolo de Descoberta WS para descoberta de contedo
armazenada em cache. Voc deve configurar o firewall do cliente para permitir as seguintes regras
de entrada:
BranchCacheRecuperao de Contedo (Usa HTTP)
BranchCacheDescoberta no Mesmo Nvel (Usa Descoberta WS)
No modo de cache hospedado, os clientes do BranchCache usam o protocolo HTTP para transferncia
de dados entre computadores cliente, mas esse modo no usa o protocolo de Descoberta WS.
No modo de cache hospedado, voc deve configurar o firewall de cliente para permitir a regra
de entrada, BranchCacheRecuperao de Contedo (usa HTTP).
Tarefas adicionais de configurao para o BranchCache

Depois que voc configurar o BranchCache, os clientes podem acessar os dados armazenados em cache
em servidores de contedo habilitados por BranchCache, que esto disponveis localmente na filial.
Voc pode modificar as configuraes do BranchCache e pode executar tarefas de configurao
adicionais, como:
Configurao do tamanho do cache.
Configurao do local do servidor de cache hospedado.
Limpeza do cache.
Criao e replicao de uma chave compartilhada para utilizao em um cluster de servidores.
2-17
Demonstrao: Configurao de BranchCache

Adicionar o BranchCache para o servio de funo Arquivos de Rede.
Configurar o BranchCache no Editor de Poltica de Grupo Local.
Habilitar o BranchCache para um compartilhamento de arquivos.
Adicionar o BranchCache para o servio de funo Arquivos de Rede
1.
Entre em LON-DC1 e abra o Gerenciador do Servidor.
2.

local:
o
Servios de Arquivo e Armazenamento (instalados)\Arquivo e Servios iSCSI\BranchCache

para arquivos de rede
Habilitar o BranchCache para o servidor

1.
Na tela inicial, digite gpedit.msc e pressione Enter.
2.
Navegue at Configurao do Computador\Modelos Administrativos\Rede\Lanman Server

e faa o seguinte:
o
Habilite Publicao de hash para BranchCache
Selecione Permitir a publicao de hash somente na pasta compartilhada na qual

o BranchCache est habilitado
Habilitar o BranchCache para um compartilhamento de arquivos

1.
Abra uma janela do Explorador de Arquivos e, na unidade C, crie uma pasta chamada Share.
2.
Configure as propriedades da pasta Share do seguinte modo:

o
Habilite Compartilhar esta pasta
Marque Habilitar BranchCache em Configuraes Offline
Monitoramento do BranchCache
Depois da configurao inicial, voc pode
querer verificar se o BranchCache est
configurado corretamente e funcionando de
maneira adequada. Voc pode usar o comando
netsh branchcache show status all para exibir
o status de servio do BranchCache. Voc tambm
pode usar o cmdlet Get-BCStatus para fornecer
o status e informaes de configurao do
BranchCache. Os servidores cliente e servidores de
cache hospedado exibem informaes adicionais,
como o local do cache local, o tamanho do cache
local e o status das regras de firewall para HTTP e
os protocolos de Descoberta WS que o BranchCache.
Voc tambm poder usar as seguintes ferramentas para monitorar o BranchCache:
Visualizador de Eventos. Use esta ferramenta para monitorar os eventos do BranchCache

que so registrados no log Aplicativo e no log Operacional. O log Aplicativo est localizado
na pasta Logs do Windows, e o log Operacional est localizado na pasta Logs de Aplicativo
e Servio\Microsoft\Windows\BranchCache.
Contadores de desempenho. Use esta ferramenta para monitorar os contadores do monitor de

desempenho do BranchCache. Os contadores do monitor de desempenho do BranchCache so
ferramentas de depurao teis para monitorar a eficcia e a integridade do BranchCache. Voc
tambm pode usar o monitoramento de desempenho do BranchCache para determinar a economia
de largura de banda no modo de Cache Distribudo ou no modo de cache hospedado. Se voc tiver
o Microsoft System Center 2012 - Operations Manager implementado no ambiente, poder usar o
Pacote de Gerenciamento do Windows BranchCache para o Operations Manager 2012.
2-19
Lio 3
Otimizao do uso de armazenamento

Toda organizao armazena dados em sistemas de armazenamento diferentes. Como os sistemas de
armazenamento processam cada vez mais dados em velocidades mais altas, a demanda de espao em
disco para armazenar os dados aumentou. A grande quantidade de arquivos, pastas e informaes e
o modo como eles so armazenados, organizados, gerenciados e mantidos se torna um desafio para
as organizaes. Alm disso, as organizaes devem satisfazer requisitos de segurana, conformidade
e preveno de vazamento de dados das informaes confidenciais da empresa.
O Windows Server 2012 introduz muitas tecnologias que podem ajudar as organizaes a responder
aos desafios de gerenciamento, manuteno, segurana e otimizao dos dados que so armazenados
em dispositivos de armazenamento diferentes. As tecnologias incluem o Gerenciador de Recursos de
Servidor de Arquivos, a infraestrutura de classificao de arquivo e eliminao de dados duplicados,
cada um fornecendo novos recursos em comparao com o Windows Server 2008 R2.
Objetivos da lio
Descrever o Gerenciador de Recursos de Servidor de Arquivos.
Descrever a classificao de arquivos.
Descrever as regras de classificao.
Explicar como configurar a classificao de arquivos.
Descrever as opes de otimizao de armazenamento no Windows Server 2012.
Explicar como configurar a eliminao de dados duplicados.
O que o Gerenciador de Recursos de Servidor de Arquivos?

Voc pode usar o FSRM (Gerenciador de
Recursos de Servidor de Arquivos) para
gerenciar e classificar dados que so
armazenados em servidores de arquivos.
O FSRM inclui os seguintes recursos:
Infraestrutura de classificao de arquivos.

Este recurso automatiza o processo de
classificao de dados. Voc pode aplicar
polticas de acesso dinamicamente a arquivos
com base em sua classificao. Exemplos
de polticas incluem Controle de Acesso
Dinmico para restringir o acesso a arquivos,
criptografia de arquivo e expirao de arquivo. Voc pode classificar arquivos automaticamente
usando regras de classificao de arquivo ou modificando manualmente as propriedades de um
arquivo ou uma pasta selecionada. Podemos modificar propriedades de arquivo automaticamente
com base no tipo de aplicativo ou no contedo do arquivo, ou definindo opes manualmente
no servidor que acionar a classificao de arquivos.
Tarefas de gerenciamento de arquivos. Voc pode usar este recurso para aplicar uma poltica
ou ao condicional aos arquivos, baseado em sua classificao. As condies de uma tarefa de
gerenciamento de arquivo incluem o local do arquivo, as propriedades de classificao, a data em
que o arquivo foi criado, a data da ltima modificao do arquivo e a ltima vez que o arquivo foi
acessado. As aes que uma tarefa de gerenciamento de arquivo pode tomar incluem a capacidade
para expirar arquivos, criptografar arquivos e executar um comando personalizado.
Gerenciamento de cota. Voc pode usar este recurso para limitar o espao que permitido para um
volume ou pasta. Voc pode aplicar cotas automaticamente a novas pastas que so criadas em um
volume. Voc tambm pode definir modelos de cota que pode aplicar a novos volumes ou pastas.
Gerenciamento de triagem de arquivo. Voc pode usar este recurso para controlar os tipos de
arquivos que os usurios podem armazenar em um servidor de arquivos. Voc pode limitar a
extenso que pode ser armazenada em seus compartilhamentos de arquivos. Por exemplo, voc
pode criar uma triagem de arquivo que rejeita o armazenamento de arquivos com uma extenso
.mp3 em pastas compartilhadas pessoais em um servidor de arquivos.
Relatrios de armazenamento. Voc pode usar este recurso para identificar tendncias em uso
de disco e identificar como seus dados so classificados. Voc tambm pode monitorar tentativas
por usurios de salvar arquivos no autorizados.
Voc pode configurar e gerenciar o FSRM usando o snap-in MMC (Console de Gerenciamento Microsoft)
do Gerenciador de Recursos de Servidor de Arquivos, ou usando a interface de linha de comando
do Windows PowerShell.
Os seguintes recursos do FSRM so novos no Windows Server 2012:
Integrao com Controle de Acesso Dinmico. O Controle de Acesso Dinmico pode usar uma
infraestrutura de classificao de arquivo para ajudar a controlar centralmente e auditar o acesso
a arquivos em seus servidores de arquivos.
Classificao manual. A classificao manual permite aos usurios classificar arquivos e pastas
manualmente sem a necessidade de criar regras de classificao automticas.
Assistncia para acesso negado. Voc pode usar a Assistncia para Acesso Negado para personalizar
a mensagem de erro de acesso negado que exibida para os usurios na Visualizao do
Consumidor do Windows 8 quando eles no tm acesso a um arquivo ou uma pasta.
Tarefas de gerenciamento de arquivos. As atualizaes para tarefas de gerenciamento de arquivo

incluem tarefas de gerenciamento de arquivo do AD DS e AD RMS (Active Directory Rights
Management Services), tarefas de gerenciamento de arquivo contnuas e namespace dinmico
para tarefas de gerenciamento de arquivo.
Classificao automtica. As atualizaes para classificao automtica aumentam o nvel de controle

que voc tem sobre como os dados so classificados em seus servidores de arquivos, incluindo
classificao contnua, o Windows PowerShell para classificao personalizada, atualizaes para
o classificador de contedo existente e namespace dinmico para regras de classificao.
Leitura adicional: Para obter mais informaes sobre FSRM, consulte

Novidades em Gerenciador de Recursos de Servidor de Arquivos em
http://go.microsoft.com/fwlink/?LinkId=270039.
Pergunta: Voc est usando o FSRM atualmente no Windows Server 2008 R2?
Em caso afirmativo, para que reas voc o utiliza?
2-21
O que classificao de arquivos?

A classificao de arquivos permite aos
administradores configurar procedimentos
automticos para definir uma propriedade
desejada em um arquivo, com base em
condies especificadas em regras de
classificao. Por exemplo, voc pode definir
a propriedade Confidencialidade como Alto
em todos os documentos cujo contedo contm
a palavra "sigilo".
No Windows Server 2008 R2 e no
Windows Server 2012, as tarefas de
gerenciamento de classificao e gerenciamento
de arquivo permitem aos administradores gerenciar grupos de arquivos com base em vrios atributos de
arquivo e pasta. Voc pode automatizar tarefas de manuteno de arquivos e pastas, como limpar dados
obsoletos ou proteger informaes confidenciais. Por isso, as tarefas de manuteno de arquivo e pasta
so mais eficientes do que manter o sistema de arquivos navegando por sua exibio hierrquica.
O gerenciamento de classificao foi criado para facilitar a carga e o gerenciamento de dados espalhados
pela organizao. Voc pode classificar arquivos de vrios modos. Na maioria dos cenrios, a classificao
realizada manualmente. A infraestrutura de classificao de arquivos no Windows Server 2012 permite
que as organizaes convertam esses processos manuais em polticas automatizadas. Os administradores
podem especificar polticas de gerenciamento de arquivos com base na classificao de um arquivo
e podem aplicar requisitos corporativos para gerenciar dados com base no valor comercial.
Voc pode usar a classificao de arquivo para executar as seguintes aes:
1.
Definir propriedades de classificao e valores que voc pode atribuir a arquivos executando
regras de classificao.
2.
Criar, atualizar e executar regras de classificao. Cada regra atribui uma nica propriedade
predefinida e um nico valor aos arquivos de um diretrio especificado com base em plug-ins
de classificao instalados.
3.
Ao executar uma regra de classificao, reavalie os arquivos que j foram classificados. Voc pode
optar por substituir os valores de classificao existentes ou adicionar o valor a propriedades
que suportam diversos valores. Voc tambm pode usar regras de classificao para desclassificar
arquivos que no esto mais no critrio de classificao.
O que so regras de classificao?

A infraestrutura de classificao de arquivo usa
regras de classificao para digitalizar arquivos
automaticamente e classific-los de acordo
com o contedo de um arquivo. Voc configura
as classificaes de arquivos no console do
Gerenciador de Recursos de Servidor de Arquivos.
As propriedades de classificao so definidas
centralmente no AD DS de forma que essas
definies possam ser compartilhadas entre
servidores de arquivos na organizao. Voc
pode criar regras de classificao que verificam
nos arquivos uma cadeia de caracteres padro
ou que corresponda a um padro (expresso regular). Quando um parmetro de classificao configurado
localizado em um arquivo, esse arquivo classificado como configurado na regra de classificao.
Ao planejar classificaes de arquivos, voc deve fazer o seguinte:
1.
Identifique qual classificao ou quais classificaes voc deseja aplicar aos documentos.
2.
Determine o mtodo que voc deseja usar para identificar os documentos para classificao.
3.
Determine a agenda de classificaes automticas.
4.
Estabelea uma reviso de xito de classificao.
Depois de ter definido as classificaes, voc poder planejar a implementao do Controle de Acesso
Dinmico definindo expresses condicionais que permitem controlar o acesso a documentos altamente
confidenciais com base em atributos de usurio especficos.
Demonstrao: Configurao da classificao de arquivos

Criar uma propriedade de classificao
Criar uma regra de classificao
Criar uma propriedade de classificao
1.
Em LON-SVR1, o console Gerenciador do Servidor deve abrir automaticamente. No Gerenciador

do Servidor, inicie o Gerenciador de Recursos de Servidor de Arquivos.
2.
No Gerenciador de Recursos de Servidor de Arquivos, crie uma propriedade local com

as seguintes configuraes:
o
Nome: Corporate Documentation
Tipo de propriedade: Sim/No
3.
2-23
No Gerenciador de Recursos de Servidor de Arquivos, crie uma regra de classificao com

o
Guia Geral, Nome da regra: Regra de documentos corporativos. Verifique se a regra

est habilitada.
Guia Escopo: E:\Labfiles\Corporate Documentation
Guia Classificao, Mtodo de classificao: Classificador de Pasta
Propriedade - Escolha uma propriedade para atribuir a arquivos: Corporate Documentation
Propriedade - Especifique um valor: Sim.
Guia Tipo de Avaliao, Reavaliar os valores de propriedade existentes e Agregar

os valores.
4.
Esperar a classificao com todas as regras e selecione Esperar a concluso da classificao.
5.
Revise o Relatrio de classificao automtica que exibido no Windows Internet Explorer

e verifique se o relatrio lista o mesmo nmero de arquivos classificados como na pasta
Corporate Documentation.
Opes de otimizao de armazenamento no Windows Server 2012

O Windows Server 2012 inclui novas opes para
otimizao de armazenamento que proporcionam
um modo eficiente de implantar, administrar
e proteger suas solues de armazenamento.
Os recursos de otimizao de armazenamento
incluem o seguinte:
Auditoria de acesso a arquivos. A auditoria

de acesso a arquivos no Windows Server 2012
cria um evento de auditoria sempre
que arquivos so acessados por usurios.
Em comparao com as verses anteriores
do Windows Server, esses dados de evento
de auditoria contm informaes adicionais sobre os atributos do arquivo que foi acessado.
Recursos sob demanda. Os recursos sob demanda permitem economizar espao em disco,
permitindo remover arquivos de funo e recurso do sistema operacional. Se voc precisar instalar
essas funes e recursos no servidor, os arquivos de instalao sero recuperados de locais remotos,
mdia de instalao ou Windows Update. Voc pode remover arquivos de recurso de computadores
fsicos e virtuais, arquivos de imagem do Windows (.wim) e VHDs (discos rgidos virtuais offline).
Eliminao de duplicao de dados. A eliminao de duplicao de dados identifica e remove

duplicaes de dados sem comprometer a integridade dos dados. A eliminao de duplicao de
dados altamente escalvel, no consome muitos recursos e no invasiva. Ela pode ser executada
simultaneamente em grandes volumes de dados primrios sem afetar outras cargas de trabalho no
servidor. O baixo impacto em cargas de trabalho de servidor mantido limitando os recursos de CPU
e memria que so consumidos. Usando trabalhos de eliminao de duplicao de dados, voc pode
agendar quando ela deve ser executada, especificar os recursos cuja duplicao deve ser eliminada
e ajustar a seleo de arquivos. Quando combinadas com o BranchCache, as mesmas tcnicas de
otimizao so aplicadas aos dados que so transferidos sobre a WAN a uma filial. Isso resulta
em tempos de download de arquivo mais rpidos e menor consumo de largura de banda.
Armazenamento de dados NFS. O armazenamento de dados do sistema de arquivos de rede (NFS)

a implementao do servidor NFS em sistemas operacionais Windows Server 2012. No
Windows Server 2012, o servidor NFS suporta alta disponibilidade, o que significa que voc pode
implantar o servidor em uma configurao de cluster de failover. Quando um cliente se conecta
a um servidor NFS no cluster de failover, e se esse servidor falhar, o servidor NFS falhar em outro
n no cluster, de forma que o cliente ainda poder se conectar ao servidor NFS.
Demonstrao: Configurao da eliminao da duplicao de dados

Adicionar o servio de funo de eliminao de duplicao de dados.
Habilitar a eliminao de duplicao de dados.
Testar a eliminao de duplicao de dados.
Adicionar o servio de funo de eliminao de duplicao de dados
1.
Entre em LON-SVR1 como Adatum\Administrador usando a senha Pa$$w0rd.
2.
Abra o Gerenciador do Servidor.
3.

o
Servios de Arquivo e Armazenamento (instalados)\Arquivo e Servios iSCSI\Eliminao

de Duplicao de Dados
Habilitar a eliminao de duplicao de dados

1.
No Gerenciador do Servidor, no painel de navegao, clique em Servios de Arquivo

e Armazenamento e clique em Volumes.
2.
No painel Volumes, clique com o boto direito na unidade E: e clique em Configurar Eliminao
da Duplicao de Dados.
3.
Configure a eliminao da duplicao de dados com as seguintes definies:

o
Habilitar a eliminao de duplicao de dados: Habilitado
Eliminar duplicaes de arquivos com mais de (em dias): 3
Definir a agenda de eliminao de duplicao: Habilitar otimizao de processamento
Hora de incio: hora atual
Testar a eliminao de duplicao de dados

1.
Em LON-SVR1, copie o arquivo OBSInstaller.exe da pasta raiz da unidade E: para a pasta

E:\LabFiles.
2.
Verifique o tamanho do arquivo em ambos os locais.
3.
No Windows PowerShell, em LON-SVR1, digite o seguinte cmdlet para iniciar o trabalho

de eliminao de duplicao no modo de otimizao:
Start-DedupJob Type Optimization Volume E:
4.
Quando o trabalho terminar, verifique o tamanho do arquivo OBSInstaller.exe na pasta raiz

na unidade E:.
5.
Na caixa de dilogo Propriedades do arquivo OBSInstaller.exe, observe os valores para Tamanho

e Tamanho em Disco. O tamanho no disco deve ser muito menor do que era anteriormente.
2-25
Laboratrio A: Implementao de servios de arquivo

avanados
Cenrio
Conforme a A. Datum Corporation foi se expandindo, os requisitos para gerenciar o acesso a
armazenamento e arquivo compartilhado tambm expandiram. Embora o custo de armazenamento
tenha diminudo significativamente durante os ltimos anos, a quantidade de dados gerada pelos grupos
comerciais da A. Datum aumentou ainda mais rapidamente. A organizao est pensando em modos
alternativos de diminuir o custo de armazenar dados na rede e est considerando opes para otimizar o
acesso aos dados nas novas filiais. A organizao tambm gostaria de garantir que os dados armazenados
nas pastas compartilhadas fossem limitados aos dados de empresa, e que no inclussem tipos de arquivo
no aprovados.
Como administrador de servidor snior da A. Datum, voc responsvel por implementar
as novas tecnologias de armazenamento de arquivo para a organizao. Voc implementar o
armazenamento iSCSI para fornecer uma opo menos complicada para implantar grandes quantidades
de armazenamento.
Objetivos
Configurar o armazenamento iSCSI.
Configurar a infraestrutura de classificao de arquivos.
Mquinas virtuais
24412B-LON-DC1
24412B-LON-SVR1
24412B-LON-SVR2
Nome de Usurio
Senha
Pa$$w0rd
Antes de iniciar as mquinas virtuais para este laboratrio, execute as seguintes etapas s para
24412B-LON-DC1:
1.
No computador host, clique em Gerenciador Hyper-V na barra de tarefas.
2.
No console Gerenciador Hyper-V, clique com o boto direito em 24412B-LON-DC1, e clique

em Configuraes.
2-27
3.
Na janela Configuraes de 24412B-LON-DC1, no painel esquerdo, verifique se o primeiro

adaptador de rede herdado est conectado a Rede Privada, e o segundo adaptador de rede
herdado est conectado a Rede Privada 2.
4.
Se houver s um adaptador de rede herdado, no painel esquerdo, clique em Adicionar Hardware,

no painel direito, clique em Adaptador de Rede Herdado, clique em Adicionar e, no painel direito,
na lista suspensa Rede, selecione Rede Privada 2. Clique em OK.
Observao: Voc poder executar s a etapa anterior se LON-DC1 no tiver sido iniciado.
Se LON-DC1 j tiver sido iniciado, desligue LON-DC1 e execute a etapa.
5.

6.
7.
8.
9.
Senha: Pa$$w0rd
Repita as etapas de 6 a 8 para 24412B-LON-SVR1 e 24412B-LON-SVR2.
Exerccio 1: Configurao do armazenamento iSCSI

Cenrio
Para diminuir o custo e a complexidade de configurar o armazenamento centralizado, a A. Datum
decidiu usar iSCSI para fornecer armazenamento. Para comear, voc instalar e configurar
o destino iSCSI e, ento, configurar o acesso ao destino configurando os iniciadores iSCSI.
1.
Instalar o recurso de destino iSCSI.
2.
Configurar os destinos iSCSI.
3.
Configurao do MPIO.
4.
Conectar e configurar os destinos iSCSI.
Tarefa 1: Instalar o recurso de destino iSCSI

1.
Entre em LON-DC1 com o nome de usurio Adatum\Administrador e a senha Pa$$w0rd.
2.
Abra o Gerenciador do Servidor.
3.

o
Servios de Arquivo e Armazenamento (instalados)\Arquivo e Servios iSCSI\Servidor

de Destino iSCSI
Tarefa 2: Configurar os destinos iSCSI

1.
Em LON-DC1, no Gerenciador do Servidor, no painel de navegao, clique em Servios de Arquivo

e Armazenamento e clique em iSCSI.
2.
Crie um disco virtual com as seguintes configuraes:

o
Local de armazenamento: C:
Nome do disco: iSCSIDisk1
Tamanho: 5 GB
Destino iSCSI: Novo
Nome de destino: lon-dc1
Servidores de acesso: 172.16.0.22 e 131.107.0.2
3.
Na pgina Exibir resultados, espere at a criao terminar e clique em Fechar.
4.
Crie um novo disco virtual iSCSI com as seguintes configuraes:
5.
6.
7.
Tamanho: 5 GB
Destino iSCSI: lon-dc1

o
Tamanho: 5 GB

o
Tamanho: 5 GB

o
Tamanho: 5 GB
Tarefa 3: Configurao do MPIO

1.
Entre em LON-SVR2 com o nome de usurio Adatum\Administrador e a senha Pa$$w0rd.
2.
Em LON-SVR2, no Gerenciador do Servidor, abra o console Roteamento e acesso remoto.
3.
Aguarde at que o Assistente para Habilitar o DirectAccess aparea e cancele o Assistente

para Habilitar o DirectAccess.
4.
Clique com o boto direito do mouse do mouse em LON-SVR2 e clique em Desabilitar

Roteamento e Acesso Remoto. Clique em Sim e feche o console Roteamento e acesso remoto.
2-29
Observao: Normalmente, voc no desabilita RRAS (Roteamento e Acesso Remoto)

antes de configurar o MPIO. Voc faz isso aqui por causa de requisitos de laboratrio.
5.
Em Gerenciador do Servidor, inicie o Assistente de Adio de Funes e Recursos e instale

o recurso Multipath I/O.
6.
No Gerenciador do Servidor, no menu Ferramentas, abra Iniciador iSCSI e configure o seguinte:
7.
Habilitar o servio Iniciador iSCSI
Conexo Rpida ao destino: LON-DC1
No Gerenciador do Servidor, no menu Ferramentas, abra MPIO e configure o seguinte:

o
Habilitar Adicionar suporte para dispositivos iSCSI em Descobrir Vrios Caminhos
8.
Depois que o computador reiniciar, entre em LON-SVR2 com o nome de usurio

Adatum\Administrador e a senha Pa$$w0rd.
9.
Em Gerenciador do Servidor, no menu Ferramentas, clique em MPIO e verifique se

ID de Hardware de Dispositivo MSFT2005iSCSIBusType_0x9 foi adicionado lista.
Tarefa 4: Conectar e configurar os destinos iSCSI

1.
Em LON-SVR2, em Gerenciador do Servidor, no menu Ferramentas, abra Iniciador iSCSI.
2.
Na caixa de dilogo Propriedades de Iniciador iSCSI, execute as seguintes etapas:

o
Desconecte todos os Destinos.
Conecte e Habilite vrios caminhos.
Defina as opes Avanadas do seguinte modo:
3.
Adaptador local: Iniciador Microsoft iSCSI
IP do iniciador: 172.16.0.22
IP do portal de destino: 172.16.0.10 / 3260
Conectar-se a outro destino, Habilitar mltiplos caminhos e defina as seguintes configuraes

Avanadas:
Adaptador local: Iniciador Microsoft iSCSI
IP do iniciador: 131.107.0.2
IP do portal de destino: 131.107.0.1 / 3260
Na lista Destinos, abra Dispositivos para iqn.1991-05.com.microsoft:lon-dc1-lon-dc1-target,

acesse as informaes de MPIO e ento verifique se, em Poltica de Balanceamento de Carga,
Round Robin est selecionado. Verifique se dois caminhos esto listados olhando para os
endereos IP de ambos os adaptadores de rede.
Resultados: Depois de concluir este exerccio, voc ter configurado e se conectado aos destinos iSCSI.
Exerccio 2: Configurao da infraestrutura de classificao de arquivos

Cenrio
A A. Datum notou que muitos usurios esto copiando a documentao corporativa para suas unidades
mapeadas nos servidores de arquivos dos usurios ou departamento. Como resultado, h muitas
verses diferentes dos mesmos documentos na rede. Para assegurar que s a verso mais recente
da documentao esteja disponvel para a maioria dos usurios, voc precisa configurar um sistema
de classificao de arquivo que excluir arquivos especficos de pastas de usurio.
1.
Criar uma propriedade de classificao para documentao corporativa.
2.
Criar uma regra de classificao para documentao corporativa.
3.
Criar uma regra de classificao que se aplica a uma pasta compartilhada.
4.
Crie uma tarefa de gerenciamento de arquivos para expirar documentos corporativos.
5.
Verifique se os documentos corporativos esto expirados.
Tarefa 1: Criar uma propriedade de classificao para documentao corporativa

1.
Em LON-SVR1, no Gerenciador do Servidor, inicie o Gerenciador de Recursos de Servidor

de Arquivos.
2.
Em Gerenciador de Recursos de Servidor de Arquivos, em Gerenciamento de Classificao,

crie uma propriedade local com as seguintes configuraes:
3.
Nome: Corporate Documentation
Tipo de propriedade: Sim/No
Deixe o Gerenciador de Recursos de Servidor de Arquivos aberto.
Tarefa 2: Criar uma regra de classificao para documentao corporativa

1.
No console Gerenciador de Recursos de Servidor de Arquivos, crie uma regra de classificao com
o
Guia Geral, Nome da regra: Regra de Documentos Corporativos e verifique se a regra est
habilitada.
Guia Escopo: pasta E:\Labfiles\Corporate Documentation
Guia Classificao:
Mtodo de classificao: Classificador de Pasta
Propriedade, Escolha uma propriedade para atribuir a arquivos: Corporate Documentation
Propriedade, Especifique um valor: Sim
Guia Tipo de avaliao: Reavaliar os valores de propriedade existentes e Agregar

os valores
2.
Selecione Execute a classificao com todas as regras e Esperar a concluso da classificao.
3.
Revise o Relatrio de classificao automtica que exibido no Internet Explorer e verifique se o

relatrio lista o mesmo nmero de arquivos classificados como na pasta Documentao Corporativa.
4.
Feche o Internet Explorer, mas deixe o console Gerenciador de Recursos de Servidor de Arquivos
aberto.
2-31
Tarefa 3: Criar uma regra de classificao que se aplica a uma pasta compartilhada
1.
2.
No console Gerenciador de Recursos de Servidor de Arquivos, crie uma propriedade local

com as seguintes configuraes:
o
Nome: Expiration Date
Tipo de propriedade: Data e hora
No console Gerenciador de Recursos de Servidor de Arquivos, crie uma regra de classificao

o
Guia Geral, Nome da regra: Regra de Expirao e verifique se a regra est habilitada
Guia Classificao, Mtodo de classificao: Classificador de Pasta
Propriedade, Escolha uma propriedade para atribuir a arquivos: Expiration Date
Guia Tipo de avaliao: Reavaliar os valores de propriedade existentes e Agregar os valores
3.
Selecione Execute a classificao com todas as regras e Esperar a concluso da classificao.
4.
Revise o Relatrio de classificao automtica que exibido no Internet Explorer e verifique se o

5.
Feche o Internet Explorer, mas deixe o console Gerenciador de Recursos de Servidor de Arquivos
aberto.
Tarefa 4: Crie uma tarefa de gerenciamento de arquivos para expirar documentos

corporativos
1.
No Gerenciador de Recursos de Servidor de Arquivos, crie uma tarefa de gerenciamento de arquivos

o
Guia Geral, Nome da tarefa: Expired Corporate Documents e verifique se a tarefa est
habilitada
Guia Ao, Tipo: Expirao do arquivo est selecionado,
Diretrio de expirao: E:\Labfiles\Expired
Guia Notificao: Log de Eventos e Enviar aviso para log de eventos
Guia Condio, Dias desde a ltima modificao do arquivo: 1
Observao: Esse valor serve apenas para fins de laboratrio. Em um cenrio real, o valor
seria 365 dias ou mais, dependendo da poltica de cada empresa.
o
Guia Agendar: Semanalmente e Domingo
Deixe o console Gerenciador de Recursos de Servidor de Arquivos aberto.
Tarefa 5: Verifique se os documentos corporativos esto expirados

1.
Em Gerenciador de Recursos de Servidor de Arquivos, clique em Executar Tarefa de Gerenciamento

de Arquivos Agora e clique em Esperar a tarefa ser concluda.
2.
Revise o Relatrio de gerenciamento de arquivos que exibido no Internet Explorer e verifique se o

3.
Inicie o Visualizador de Eventos e, no console Visualizador de Eventos, abra o log de evento

Aplicativo.
4.
Revise os eventos com nmeros 908 e 909. Note que 908 - FSRM iniciou um trabalho de
gerenciamento de arquivo e 909 - FSRM concluiu um trabalho de gerenciamento de arquivo.
Resultados: Depois de concluir este exerccio, voc ter configurado uma infraestrutura de classificao
de arquivo de forma que a verso mais recente da documentao sempre estar disponvel aos usurios.
Para se preparar para o prximo laboratrio

Quando voc concluir o laboratrio, reverta 24412B-LON-SVR2. Para fazer isso, execute estas etapas.
1.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24412B-LON-SVR2

e clique em Reverter.
3.

Mantenha todas as outras mquinas virtuais ligadas para o prximo laboratrio.

Cenrio
A A Datum Corporation implantou uma nova filial, que tem um nico servidor. Para otimizar o acesso
aos arquivos nas filiais, voc deve configurar o BranchCache. Para reduzir o uso de WAN para a filial,
voc deve configurar o BranchCache para recuperar dados da matriz. Voc tambm implementar
o FSRM para ajudar a otimizar o armazenamento de arquivo.
Objetivos
Configurar os servidores da matriz para o BranchCache.
Configurar os servidores das filiais para o BranchCache.
Configurar computadores cliente para o BranchCache.
Monitorar o BranchCache.
Mquinas virtuais
24412B-LON-DC1
24412B-LON-SVR1
24412B-LON-CL1
24412B-LON-CL2
Nome de Usurio
Senha
Pa$$w0rd
1.

2.
3.
4.
5.
Senha: Pa$$w0rd
Repita as etapas 2 a 4 para 24412B-LON-SVR1, 24412B-LON-CL1 e 24412B-LON-CL2.
2-33
Exerccio 1: Configurao dos servidores da matriz para o BranchCache

Cenrio
Antes de voc poder configurar o recurso BranchCache para suas filiais, deve configurar os componentes
de rede.
1.
Configurar o LON-DC1 para usar o Windows BranchCache.
2.
Simular um link lento filial.
3.
Habilitar um compartilhamento de arquivos para BranchCache.
4.
Configurar regras de firewall de cliente para BranchCache.
Tarefa 1: Configurar o LON-DC1 para usar o Windows BranchCache

1.
2.
Abra o Gerenciador de Servidor e instale o servio de funo BranchCache para arquivos de rede.
3.
Abra o Editor de Poltica de Grupo Local (gpedit.msc).
4.
Navegue para e abra Configurao do Computador/Modelos Administrativos/Rede/

Servidor Lanman/Publicao de Hash para BranchCache.
5.
Habilite a configurao BranchCache e selecione Permitir publicao de hash somente para pastas
compartilhadas nas quais o BranchCache estiver habilitado.
Tarefa 2: Simular um link lento filial

1.
No console Editor de Poltica de Grupo Local, navegue at Configurao do Computador\

Configuraes do Windows\QoS baseada em Poltica.
2.
Crie uma nova poltica com as seguintes configuraes:

o
Nome: Limitar a 100 Kbps
Especifique a taxa de acelerao de sada: 100
Aceite os valores padro em outras pginas de assistente
Tarefa 3: Habilitar um compartilhamento de arquivos para BranchCache

1.
Em uma janela do Explorador de Arquivos, crie uma nova pasta chamada C:\Share.
2.
Compartilhe essa pasta com as seguintes propriedades:
3.
Nome do compartilhamento: Share
Permisses: padro
Cache: Habilitar o BranchCache
Copie C:\Windows\System32\mspaint.exe para a pasta C:\Compartilhar.
Tarefa 4: Configurar regras de firewall de cliente para BranchCache

1.
Em LON-DC1, abra Gerenciamento de Poltica de Grupo.
2.
Navegue para Floresta: Adatum.com\Domains\Adatum.com\Default Domain Policy

e abra a poltica para editar.
3.
Navegue para Configurao do Computador\Polticas\Configuraes do Windows\

Configuraes de Segurana\Firewall do Windows com Segurana Avanada\
Firewall do Windows com Segurana Avanada\Regras de entrada.
4.
Crie uma nova regra de firewall de entrada com as seguintes propriedades:
5.
6.
Tipo de regra: predefinidos
Usar BranchCache Recuperao de Contedo (Usa HTTP)
Ao: Permitir
2-35
Crie uma nova regra de firewall de entrada com as seguintes propriedades:

o
Tipo de regra: predefinidos
Usar BranchCache Descoberta no Par (Usa WSD)
Ao: Permitir
Feche o Editor de Gerenciamento de Poltica de Grupo e o console Gerenciamento de Poltica

de Grupo.
Resultados: No final deste exerccio, voc ter implantado o BranchCache, configurado um link lento
e habilitado o BranchCache em um compartilhamento de arquivos.
Exerccio 2: Configurao dos servidores das filiais para o BranchCache

Cenrio
A prxima etapa que voc deve executar configurar um servidor de arquivos para o recurso
BranchCache. Voc instalar o recurso BranchCache, solicitar um certificado e vincul-lo ao BranchCache.
1.
Instalar o recurso BranchCache no LON-SVR1.
2.
Inicie o servidor host BranchCache.
Tarefa 1: Instalar o recurso BranchCache no LON-SVR1
Em LON- SVR1, no Gerenciador do Servidor, adicione o servio de funo BranchCache para

Arquivos de Rede e o recurso BranchCache.
Tarefa 2: Inicie o servidor host BranchCache

1.
Em LON-DC1, abra Usurios e Computadores do Active Directory e crie uma nova OU chamada
BranchCacheHost.
2.
Mova LON-SVR1 na OU BranchCacheHost.
3.
Abra o Gerenciamento de Poltica de Grupo e bloqueie a herana de GPO na OU do

BranchCacheHost.
4.
Reinicie LON-SVR1 e faa logon como Adatum\Administrador com a senha Pa$$w0rd.
5.
Em LON-SVR1, abra o Windows PowerShell e execute o seguinte cmdlet:

Enable-BCHostedServer
RegisterSCP
6.
Em LON-SVR1, no Windows PowerShell, execute o seguinte cmdlet:

Get-BCStatus
7.
Verifique se o BranchCache est habilitado e em execuo.
Resultados: Ao fim deste exerccio, voc ter habilitado o servidor BranchCache na filial.
Exerccio 3: Configurao de computadores cliente para o BranchCache

Cenrio
Depois de configurar os componentes de rede, voc deve assegurar que os computadores cliente
sejam configurados corretamente. Esta uma tarefa preparatria para usar o BranchCache.
1.
Configurar computadores cliente para usar o BranchCache em modo de cache hospedado.
Tarefa 1: Configurar computadores cliente para usar o BranchCache em modo

de cache hospedado
1.
Em LON-DC1, abra o Gerenciador do Servidor e abra Gerenciamento de Poltica de Grupo.
2.
Edite a Default Domain Policy.
3.
Na janela Editor de Gerenciamento da Poltica de Grupo, navegue para Configurao

do Computador\Polticas\Ferramentas Administrativas\Rede\BranchCache e configure
o seguinte:
a.
Ativar o BranchCache: Habilitada
b.
Habilitar Descoberta Automtica de Cache Hospedado atravs de Ponto de Conexo

do Servio: Habilitado
c.
Configurar o BranchCache para arquivos de rede: Habilitado
d.
Digite a latncia de rede de viagem de ida e volta mxima (milissegundos) depois da qual
o armazenamento em cache comea: 0
4.
Inicie 24412B-LON-CL1, abra uma janela de prompt de comando e atualize as configuraes

de Poltica de Grupo usando o comando gpupdate /force.
5.
No prompt de comando, digite netsh branchcache show status all e pressione Enter.
6.
Verifique se o BranchCache est Habilitado com o status Em execuo e se foram aplicadas

as opes de Poltica de Grupo. Se o status for Parado, repita as etapas 4 e 5.
7.
Inicie o 24412B-LON-CL2, abra a janela de prompt de comando e atualize as configuraes

de Poltica de Grupo usando o comando gpupdate /force.
8.
No prompt de comando, digite netsh branchcache show status all e pressione Enter.
9.
Verifique se o BranchCache est Habilitado com o status Em execuo e se foram aplicadas

as opes de Poltica de Grupo. Se o status for Parado, repita as etapas 7 e 8.
Resultados: No final deste exerccio, voc ter configurado os computadores cliente para o BranchCache.
2-37
Exerccio 4: Monitoramento do BranchCache

Cenrio
Finalmente, voc deve testar e verificar se o recurso BranchCache est funcionando como esperado.
1.
Configurar o Monitor de Desempenho no LON-SVR1.
2.
Configurar as estatsticas de desempenho no LON-CL1.
3.
Configurar as estatsticas de desempenho no LON-CL2.
4.
Testar o BranchCache no modo de cache hospedado.
Tarefa 1: Configurar o Monitor de Desempenho no LON-SVR1

1.
Em LON-SVR1, abra o Monitor de Desempenho.
2.
No console do Monitor de Desempenho, no painel de navegao, em Ferramentas de Monitorao,

clique em Desempenho do Sistema.
3.
Remova os contadores existentes, altere para uma visualizao de relatrio e adicione os contadores
de objeto BranchCache ao relatrio.
Tarefa 2: Configurar as estatsticas de desempenho no LON-CL1

1.
Alterne a LON-CL1 e abra o Desempenho do Sistema.
2.
No painel de navegao do console do Monitor de Desempenho, em Ferramentas de Monitorao,

3.
No Desempenho do Sistema, remova os contadores existentes, altere para uma visualizao

de relatrio e adicione o objeto BranchCache ao relatrio.
Tarefa 3: Configurar as estatsticas de desempenho no LON-CL2

1.
Alterne a LON-CL2 e abra o Desempenho do Sistema.
2.
No console do Monitor de Desempenho, no painel de navegao, em Ferramentas de Monitorao,

3.
No Desempenho do Sistema, remova os contadores existentes, altere para uma visualizao

de relatrio e adicione o objeto BranchCache ao relatrio.
Tarefa 4: Testar o BranchCache no modo de cache hospedado

1.
Alterne para LON-CL1.
2.
Abra \\LON-DC1.adatum.com\share, e copie mspaint.exe para a rea de trabalho local.

Isto poderia levar alguns minutos devido ao link lento simulado.
3.
Leia as estatsticas de desempenho no LON-CL1. Este arquivo foi recuperado do LON-DC1

(Recuperao: Bytes de servidor). Depois que o arquivo foi armazenado em cache localmente,
foi transmitido at o cache hospedado. (Recuperao: Bytes servidos).
4.
Alterne para LON-CL2.
5.
Abra \\LON-DC1.adatum.com\share, e copie mspaint.exe para a rea de trabalho local.

Isto no deve levar muito tempo, pois o arquivo est armazenado em cache.
6.
Leia as estatsticas de desempenho no LON-CL2. Este arquivo foi obtido do cache hospedado
(Recuperao: Bytes do Cache
7.
Leia as estatsticas de desempenho no LON-SVR1. Este servidor ofereceu dados armazenados

em cache a clientes (Cache Hospedado: ofertas de segmento de arquivo de cliente feitas).
Resultados: Ao fim deste exerccio, voc ter verificado se o BranchCache est funcionando
como esperado.

Ao concluir o laboratrio, reverta as mquinas virtuais ao estado inicial. Para fazer isso, execute
estas etapas.
1.
2.
em Reverter.
3.
4.
Repita as etapas 2 e 3 para 24412B-LON-SVR1, 24412B-LON-CL1 e 24412B-LON-CL2.
2-39

Prtica recomendada:
Ao considerar uma soluo de armazenamento iSCSI para sua organizao, gaste a maioria do tempo
no processo de design. O processo de design crucial porque permite otimizar a soluo para todas
as tecnologias que usaro o armazenamento iSCSI, como servios de arquivo, Exchange Server e
SQL Server. O design tambm deve acomodar o crescimento futuro dos dados comerciais de suas
organizaes. Bons processos de design garantem uma implantao com xito da soluo que
satisfar os requisitos comerciais de sua organizao.
Ao planejar a implantao do BranchCache, trabalhe de perto com seus administradores de rede

para otimizar o trfego de rede pela WAN.
Ao planejar classificaes de arquivo, comece com os requisitos comerciais de sua organizao.

Identifique as classificaes que voc aplicar aos documentos e defina um mtodo que voc
usar para identificar documentos para classificao. Antes de voc implantar a infraestrutura de
classificao de arquivo, crie um ambiente de teste e teste os cenrios para garantir que sua soluo
resultar em uma implantao com xito, e que os requisitos comerciais de suas organizaes sero
satisfeitos.
Perguntas de reviso
Pergunta: Como o BranchCache difere do Sistema de Arquivos Distribudos?
Pergunta: Por que voc desejaria implementar o BranchCache em modo de cache
hospedado em vez de no modo de cache distribudo?
Pergunta: Voc pode configurar Eliminao de duplicao de dados em um volume
de inicializao?
Pergunta: Por que voc implementaria uma infraestrutura de classificao de arquivo?

Pergunta: Sua organizao est pensando em implantar uma soluo iSCSI. Voc um
administrador do Windows Server 2012 responsvel por criar e implantar a nova soluo.
Essa nova soluo ser usada por um tipo diferente de tecnologias, como o servidor de
arquivos Windows Server 2012, o Exchange Server e o SQL Server. Voc est enfrentando
um desafio de criar uma soluo iSCSI ideal, mas, ao mesmo tempo, voc no sabe ao
certo se a soluo que vai propor para sua organizao satisfar os requisitos de todas
as tecnologias que acessaro o armazenamento iSCSI. O que fazer?
Pergunta: Sua organizao est pensando em implantar uma soluo BranchCache. Voc
um administrador do Windows Server 2012 em sua organizao responsvel por criar e
implantar a nova soluo. Os gerenciadores comerciais da organizao esto preocupados
com a segurana dos dados que sero armazenados nas filiais. Eles tambm esto
preocupados sobre como a organizao eliminar riscos de segurana como falsificao
de dados, revelao de informaes e ataques de negao de servio. O que fazer?
Pergunta: Sua organizao est usando grandes quantidades de espao em disco para
armazenamento de dados e est enfrentando um desafio de organizar e gerenciar os dados.
Alm disso, sua organizao deve satisfazer requisitos de segurana, conformidade e
preveno de vazamento de dados das informaes confidenciais da empresa. O que fazer?
Ferramentas
Ferramenta
Uso
Onde encontrar
Servidor de destino iSCSI
Configurar destinos iSCSI
Em Gerenciador do Servidor,
em Servidores de Arquivo
e Armazenamento
Iniciador iSCSI
Configure um cliente para conectar

a um disco virtual de destino iSCSI
Em Gerenciador do Servidor,
na caixa de listagem suspensa
Ferramentas
Ferramenta Avaliao de
Eliminao de Duplicao
(DDPEval.exe)
Analise um volume para descobrir

as economias em potencial ao
habilitar Eliminao de duplicao
de dados
C:\windows\system32
Gerenciador de Recursos
de Servidor de Arquivos
Um conjunto de recursos que

permitem gerenciar e classificar
dados que so armazenados em
servidores de arquivos
3-1
Mdulo 3
Implementao do Controle de Acesso Dinmico
Contedo:
Viso geral do mdulo
3-1
Lio 1: Viso geral do Controle de Acesso Dinmico
3-2
Lio 2: Planejamento do Controle de Acesso Dinmico
3-9
Lio 3: Implantao do Controle de Acesso Dinmico
3-14
Laboratrio: Implementao do Controle de Acesso Dinmico
3-25
3-35
Viso geral do mdulo

O sistema operacional Windows Server 2012 apresenta um novo recurso para aprimorar o controle
de acesso para recursos baseados em arquivos e em pastas. Esse recurso, chamado Controle de Acesso
Dinmico, estende o controle de acesso baseado no sistema de arquivos NTFS normal, permitindo que
os administradores usem declaraes, propriedades de recursos, polticas e expresses condicionais para
gerenciar o acesso. Neste mdulo, voc aprender sobre o Controle de Acesso Dinmico, como planej-lo
e como implement-lo.
Objetivos
Descrever o Controle de Acesso Dinmico e seus componentes.
Planejar a implementao do Controle de Acesso Dinmico.
Implementar o Controle de Acesso Dinmico.
3-2
Lio 1
Viso geral do Controle de Acesso Dinmico

O Controle de Acesso Dinmico um novo recurso do Windows Server 2012 que pode ser usado para
o gerenciamento de acesso. O Controle de Acesso Dinmico oferece uma nova maneira de proteger e
controlar o acesso a recursos. Antes de implementar esse recurso, voc deve entender como ele funciona
e quais componentes ele usa. Esta lio apresenta uma viso geral do Controle de Acesso Dinmico.
Objetivos da lio
Definir o Controle de Acesso Dinmico.
Descrever as tecnologias de base do Controle de Acesso Dinmico.
Comparar o Controle de Acesso Dinmico com tecnologias alternativa e semelhantes,

como permisses NTFS e o AD RMS (Active Directory Rights Management Services).
Definir identidade.
Definir declaraes e tipos de declarao.
Definir uma poltica de acesso central.
O que o Controle de Acesso Dinmico?

Normalmente, a maioria das organizaes
armazena seus dados em servidores de arquivos.
Assim, os administradores de TI devem fornecer
segurana e controle de acesso apropriados para
os recursos de servidor de arquivos. Em verses
anteriores do Windows Server, os administradores
de TI controlavam a maior parte do acesso
a recursos de servidor de arquivos usando
permisses NTFS e listas de controle de acesso.
O Controle de Acesso Dinmico no
Windows Server 2012 um novo mecanismo
de controle de acesso para recursos de sistema
de arquivos. Ele permite que os administradores definam polticas de acesso central a arquivos
que podem se aplicar a cada servidor de arquivos na organizao. O Controle de Acesso
Dinmico implementa uma rede de segurana sobre os servidores de arquivos e sobre todos os
compartilhamentos e permisses NTFS existentes. Ele tambm assegura que, independentemente
de como o compartilhamento e as permisses NTFS sejam alterados, essa poltica de substituio
central seja imposta. O Controle de Acesso Dinmico combina vrios critrios na deciso de acesso.
Isto aumenta a ACL (lista de controle de acesso) NTFS de forma que os usurios precisam atender
ACL NTFS e poltica de acesso central para obter acesso ao arquivo.
O Controle de Acesso Dinmico fornece uma forma flexvel de aplicar e gerenciar o acesso e a auditoria
a servidores de arquivos baseados em domnio. O Controle de Acesso Dinmico usa declaraes no
token de autenticao, propriedades de recursos no recurso e expresses condicionais em entradas
de permisso e auditoria. Com essa combinao de recursos, voc pode agora conceder acesso
a arquivos e pastas com base em atributos do AD DS (Servios de Domnio do Active Directory).
3-3
O Controle de Acesso Dinmico oferece:
Classificao de dados. Voc pode usar a classificao automtica e manual de arquivos para marcar
dados em servidores de arquivos em toda a organizao.
Controla de acesso a arquivos. As polticas de acesso central permitem que as organizaes definam,
por exemplo, quem pode acessar informaes de integridade do sistema em uma organizao.
Auditoria de acesso a arquivos. Voc pode usar polticas de auditoria centrais para obter relatrios
de conformidade e anlise forense. Por exemplo, possvel identificar quem acessou informaes
altamente confidenciais.
Integrao de proteo RMS opcional. Voc pode usar a criptografia RMS para documentos
confidenciais do Microsoft Office. Por exemplo, voc pode configurar o RMS para criptografar
todos os documentos que contm informaes sobre a HIPAA (Health Insurance Portability
and Accountability Act).
O Controle de Acesso Dinmico foi criado para quatro cenrios:
Polcia de acesso central para acesso a arquivos. Permite que as organizaes definam polticas
globais de segurana que refletem a conformidade de negcios e regulatria.
Auditoria de conformidade e anlise. Permite a auditoria direcionada em servidores de arquivos

para relatrios de conformidade e anlise forense.
Proteo de informaes confidenciais. Identifica e protege informaes confidenciais em

um ambiente Windows Server 2012 e tambm quando elas saem desse ambiente.
Correo de acesso negado. Melhora a experincia de acesso negado para reduzir a carga sobre
a assistncia tcnica e o tempo para soluo de problemas de incidentes.
Tecnologias de base do Controle de Acesso Dinmico

O Controle de Acesso Dinmico combina
muitas tecnologias do Windows Server 2012
para fornecer uma experincia de autorizao
e auditoria flexvel e granular. O Controle de
Acesso Dinmico usa as seguintes tecnologias:
AD DS e suas tecnologias dependentes

para o gerenciamento da rede corporativa.
Protocolo Kerberos verso 5 (V5), incluindo

identidade composta para autenticao
segura.
Segurana do Windows (LSA (autoridade

de segurana local), servio de logon de rede) para transaes de logon seguras.
Classificaes de arquivos para a categorizao de arquivos.
Auditoria para monitoramento seguro e responsabilidade.
RMS para proteo adicional.
3-4
Vrios componentes e tecnologias foram atualizados no Windows Server 2012 para dar suporte
ao Controle de Acesso Dinmico. As atualizaes mais importantes so:
Um novo mecanismo de autorizao e auditoria do Windows que pode processar expresses

condicionais e polticas centrais.
Suporte autenticao Kerberos para declaraes de usurios e dispositivos.
Aprimoramentos na infraestrutura de classificao de arquivos.
Suporte opcional extensibilidade de RMS para que parceiros possam fornecer solues
de criptografia de arquivos que no so do Microsoft Office.
Controle de Acesso Dinmico x tecnologias de permisses alternativas

O Controle de Acesso Dinmico controla
o acesso a recursos baseados em arquivo.
Ele estende a funcionalidade de tecnologias
mais antigas para controlar o acesso
a recursos baseados em arquivo.
Em verses anteriores do Windows Server,
o mecanismo bsico de controle de acesso
a arquivos e pastas eram as permisses
NTFS. Usando permisses NTFS e suas ACLs,
os administradores podem controlar o acesso
a recursos com base em SIDs (identificadores
de segurana) de nome de usurio ou de
associao a um grupo, alm do nvel de acesso, como Somente Leitura, Alterao e Controle Total.
Porm, por exemplo, depois que voc concede acesso Somente Leitura a um documento para uma
pessoa, no pode impedir que essa pessoa copie o contedo desse documento para um novo documento
ou o imprima.
Com a implementao do AD RMS, voc pode estabelecer um nvel adicional de controle de arquivos.
Diferente das permisses NTFS, que no reconhecem aplicativos, o AD RMS define uma poltica que
pode controlar o acesso a documentos dentro do aplicativo que o usurio usa para abri-los. Com
a implementao do AD RMS, voc permite que os usurios protejam documentos nos aplicativos.
Ao usar sistemas operacionais cliente Windows anteriores ao Windows 8, voc no pode definir acesso
condicional a arquivos usando o NTFS e o AD RMS. Por exemplo, no possvel definir permisses
NTFS para que os usurios possam acessar documentos se forem membros de um grupo especfico
ou se seus atributos EmployeeType forem definidos como FTE (Funcionrio de Tempo Integral).
Alm disso, voc no pode definir permisses de forma que apenas os usurios que tm um atributo
departamento preenchido com mesmo valor do atributo departamento do recurso possam acessar
o contedo. No entanto, possvel usar expresses condicionais para realizar essas tarefas. Voc pode
usar o Controle de Acesso Dinmico para contar valores de atributo em objetos de usurios ou recursos
ao conceder ou negar acesso.
3-5
O que identidade?
Em geral, a identidade definida como um
conjunto de dados que descrevem de maneira
exclusiva uma pessoa ou uma coisa (s vezes
chamada de assunto ou entidade) e contm
informaes sobre as relaes do assunto com
outras entidades. A identidade normalmente
verificada usando uma fonte de informaes
confivel.
Por exemplo, quando voc vai para o
aeroporto, mostra seu passaporte. Seu
passaporte contm seu nome, endereo,
data de nascimento e fotografia. Cada item
de informao pessoal uma declarao sobre voc pelo pas que emitiu seu passaporte. Seu pas
assegura que as informaes que publica em um passaporte so precisas para o proprietrio do
passaporte. Como normalmente voc usa o passaporte fora de seu pas de residncia, outros pases
tambm devem confiar nas informaes de seu passaporte. Eles devem confiar na organizao que
emitiu seu passaporte e consider-lo confivel. Com base nessa confiana, outros pases lhe do acesso
a seus territrios (que podem ser considerado recursos). Portanto, neste exemplo, para acessar recursos
em outros pases, cada pessoa precisa ter um documento (passaporte) que emitido por uma fonte
confivel e que contm declaraes fundamentais que descrevem a pessoa.
O sistema operacional Windows Server 2012 usa um conceito de identidade semelhante. Um
administrador cria uma conta de usurio no AD DS para uma pessoa. O controlador de domnio publica
as informaes de conta do usurio, como um identificador de segurana e atributos de associao
a um grupo. Quando um usurio acessa um recurso, o Windows Server cria um token de autorizao.
Para continuar com a analogia da viagem para o exterior, voc o usurio e o token de autenticao
o passaporte. Cada informao exclusiva no token de autenticao uma declarao feita sobre sua
conta de usurio. Os controladores de domnio publicam e assinam essas declaraes. Os computadores
que pertencem a domnios e os usurios de domnios confiam nas informaes de autorizao fornecidas
por controladores de domnio.
Podemos dizer ento que a identidade, em relao autenticao e autorizao, consiste em
informaes fornecidas sobre uma entidade por uma fonte confivel. Alm disso, as informaes
so consideradas autorizadas porque sua origem confivel.
3-6
Verses anteriores do Windows Server usavam as SIDs e os grupos de segurana para representar a
identidade de um usurio ou computador. Os usurios so autenticados no domnio com um nome
de usurio e uma senha especficos. O nome de logon exclusivo convertido na SID. O controlador
de domnio valida a senha e fornece um token com a SID da entidade de segurana e as SIDs de todos
os grupos dos quais a entidade membro. O controlador de domnio declara que a SID do usurio
vlida e que deve ser usada como identidade do usurio. Todos os membros do domnio confiam
em seu controlador de domnio; portanto, a resposta tratada como uma autorizao.
A identidade no limitada SID do usurio. Os aplicativos podem usar qualquer informao sobre o
usurio como forma de identidade, se o aplicativo confiar que a origem das informaes autorizada.
Por exemplo, muitos aplicativos implementam o RBAC (controle de acesso baseado em funo).
O RBAC limita o acesso a recursos dependendo do usurio ser membro de uma funo especfica.
O Microsoft SharePoint Server um bom exemplo de software que implementa a segurana baseada
em funes. O Windows Server 2012 tambm pode tirar proveito dessas opes para estender
e aprimorar o modo como a identidade determinada para uma entidade de segurana.
O que uma declarao?

O Windows Server 2008 e o Windows Server 2003
usam declaraes no AD FS (Servios de
Federao do Active Directory). Nesse contexto,
declaraes so afirmaes feitas sobre usurios
por exemplo, nome, identidade, chave, grupo,
privilgio ou recurso que so entendidas pelos
parceiros em uma federao do AD FS. O AD FS
tambm fornece declaraes baseadas no AD DS
e a capacidade de converter os dados dessas
declaraes para o formato SAML. Em verses
anteriores DO AD FS, os nicos atributos
que poderiam ser recuperados do AD DS
e incorporados diretamente em uma declarao eram informaes de SID de contas de usurio e
de grupo. Todas as outras informaes de declaraes eram definidas e referenciadas em um banco
de dados separado, conhecido como um repositrio de atributos. Agora o Windows Server 2012 permite
ler e usar qualquer atributo diretamente do AD DS. Voc no precisa usar um repositrio de atributos
do AD FS separado para armazenar esse tipo de informaes de contas de usurios ou de computadores
baseados no Active Directory.
Por definio, uma declarao algo que o AD DS afirma sobre um objeto especfico (em geral, um
usurio ou computador). Uma declarao fornece informaes da fonte confivel sobre uma entidade.
Alguns exemplos de declaraes so o departamento do usurio, a liberao de segurana do usurio
e o estado de integridade do computador. Todas estas declaraes informam algo sobre um objeto
especfico.
Normalmente, uma entidade contm mais de uma declarao. Ao configurar o acesso a recursos,
pode ser usada qualquer combinao de declaraes para autorizar o acesso aos recursos.
No Windows Server 2012, o mecanismo de autorizao estendido para dar suporte expresses
condicionais. Agora voc pode usar declaraes de usurios e dispositivos para a autorizao de
arquivos e pastas, alm de permisses NTFS, que so baseadas na SID de usurio ou de grupo. Ao
usar declaraes, agora voc pode basear sua deciso de controle de acesso na SID e nos valores
de outros atributos. Observe que o Windows Server 2012 ainda d suporte ao uso de associao
a grupos para as decises de autorizao.
Declaraes de usurios
Uma declarao de usurio consiste em informaes sobre um usurio fornecidas por um controlador
de domnio do Windows Server 2012. Os controladores de domnio do Windows Server 2012 podem
usar a maioria dos atributos de usurio do AD DS como informaes de declarao. Isto d aos
administradores uma ampla variedade de possibilidades para configurar e usar declaraes
para o controle de acesso.
Declaraes de dispositivos
Uma declarao de dispositivo que muitas vezes chamada de declarao de computador
consiste em informaes fornecidas por um controlador de domnio do Windows Server 2012 sobre
um dispositivo que representado por uma conta de computador no AD DS. Da mesma forma
que as declaraes de usurios, as declaraes de dispositivos podem usar a maioria dos atributos
do AD DS que se aplicam a objetos de computador.
O que uma poltica de acesso central?

Um dos componentes fundamentais do Controle
de Acesso Dinmico a poltica de acesso central.
Esse recurso do Windows Server 2012 permite
que os administradores criem polticas podem
ser aplicadas a um ou mais servidores de arquivos.
Voc cria polticas na Central Administrativa
do Active Directory, que as armazena no AD DS;
depois, voc as aplica usando a Poltica de Grupo.
A poltica de acesso central contm uma ou mais
regras. Cada regra contm configuraes que
determinam sua aplicabilidade e suas permisses.
Antes de criar uma poltica de acesso central, voc
deve criar pelo menos uma regra de acesso central. As regras de acesso central definem
todos os parmetros e condies que controlam o acesso a recursos especficos.
Uma regra de acesso central tem trs partes configurveis:
Nome. Para cada regra de acesso central, voc deve configurar um nome descritivo.
Recurso de destino. Essa uma condio que define a quais dados a poltica se aplica. Voc define
uma condio especificando um atributo e seu valor. Por exemplo, uma regra de poltica central
especfica pode se aplicar a todos os dados que voc classificar como confidenciais.
Permisses. Esta uma lista de uma ou mais ACEs (entradas de controle de acesso) que definem
quem pode acessar os dados. Por exemplo, voc pode especificar o acesso Controle Total a
um usurio com o atributo EmployeeType definido como FTE (funcionrio de tempo integral).
Esse o principal componente de cada regra de acesso central. Voc pode combinar e agrupar
as condies que coloca na regra de acesso central. possvel definir as permisses como
propostas (para fins de preparao) ou atuais.
3-7
3-8
Voc pode pensar na regra de acesso central como representante de um requisito de negcios que
descreve quem pode acessar um conjunto especfico de informaes; por exemplo, informaes
confidenciais.
Depois que voc configurar uma ou mais regras de acesso central, adicione-as poltica de acesso
central, que ento aplicada aos recursos.
A poltica de acesso central aprimora, mas no substitui as polticas de acesso locais ou as DACLs (listas
de controle de acesso discricionrio) que so aplicadas a arquivos e pastas em um servidor especfico.
Por exemplo, se uma DACL em um arquivo permite o acesso de um usurio especfico, mas uma poltica
de acesso central que se aplica ao arquivo restringe o acesso do mesmo usurio, ele no poder ter
acesso ao arquivo. Da mesma forma, se a poltica de acesso central permitir, mas a DACL no permitir
o acesso, o usurio no poder acessar o arquivo.
Antes de implementar a poltica de acesso central, execute estas etapas:
1.
Crie uma declarao e a conecte a usurios ou a objetos de computador usando atributos.
2.
Crie as definies de propriedade do arquivo.
3.
Crie uma ou mais regras de acesso central.
4.
Crie um objeto de Poltica de Acesso Central e defina suas configuraes.
5.
Use a Poltica de Grupo para implantar a poltica em servidores de arquivos. Ao fazer isso, voc
informa os servidores de arquivos sobre a existncia de uma poltica de acesso central no AD DS.
6.
No servidor de arquivos, aplique essa poltica a uma pasta compartilhada especfica.
Voc tambm pode usar o Kit de Ferramentas de Classificao de Dados para aplicar automaticamente
polticas de acesso central em vrios servidores de arquivos e relatar quais polticas so aplicadas em
quais compartilhamentos.
Lio 2
Planejamento do Controle de Acesso Dinmico

O Controle de Acesso Dinmico exige um planejamento detalhado antes da implementao. Voc
deve identificar os motivos para sua organizao implementar o Controle de Acesso Dinmico e
planejar a poltica de acesso central, classificaes de arquivos, auditoria e assistncia de acesso
negado. Nesta lio, voc aprender sobre o planejamento do Controle de Acesso Dinmico.
Objetivos da lio
Descrever os motivos para implementar o Controle de Acesso Dinmico.
Planejar uma poltica de acesso central.
Planejar classificaes de arquivos.
Planejar a auditoria de acesso a arquivos.
Planejar a Assistncia para Acesso Negado.
Motivos para implementar o Controle de Acesso Dinmico

Antes de implementar o Controle de Acesso
Dinmico, voc deve identificar claramente
os motivos para sua organizao usar esse
recurso. O Controle de Acesso Dinmico
deve ser projetado com ateno antes da
implementao. Uma implementao planejada
de modo inadequado pode fazer o acesso de
alguns usurios a dados necessrios ser negado,
enquanto concedido acesso a dados restritos
para outros usurios.
Os motivos mais comuns para implementar
o Controle de Acesso Dinmico so reduzir
a complexidade do grupo de segurana, obedecer regulamentos de conformidade e proteger
informaes confidenciais. Alm disso, com o DAC, voc pode estender a funcionalidade de um
modelo de controle de acesso existente. A maioria das organizaes usa o NTFS e permisses de
compartilhamento para implementar o controle de acesso a recursos de arquivo e pasta. Na maioria
dos casos, o NFTS suficiente, mas, em alguns cenrios, no funcionar. Por exemplo, voc no pode
usar a ACL do NFTS para proteger um recurso em um servidor de arquivos, o que significa que um
usurio deve ser membro de dois grupos ao mesmo tempo para acessar o recurso. Voc deve usar o
Controle de Acesso Dinmico em vez de mtodos tradicionais para implementar o controle de acesso
quando desejar usar informaes mais especficas para fins de autorizao. O NTFS e as permisses
de compartilhamento usam apenas objetos de grupo ou usurio.
3-9
3-10 Implementao do Controle de Acesso Dinmico
Planejamento de uma poltica de acesso central

A implementao da poltica de acesso central
no obrigatrio para o Controle de Acesso
Dinmico. Porm, para a configurao consistente
do controle de acesso em todos os servidores
de arquivos, voc deve implementar pelo menos
uma poltica de acesso central. Ao fazer isso, voc
permite que todos os servidores de arquivos
em um escopo especfico usem uma poltica
de acesso central ao proteger o contedo
em pastas compartilhadas.
Antes de implementar uma poltica de acesso
central, crie um plano detalhado, como
o seguinte:
1.
Identifique os recursos que voc deseja proteger. Se todos esses recursos estiverem em um servidor
de arquivos ou em apenas uma pasta, talvez no seja necessrio implementar uma poltica de acesso
central. Em vez disso, voc pode configurar o acesso condicional na ACL da pasta. Porm, se os
recursos estiverem distribudos em vrios servidores ou vrias pastas, voc poder se beneficiar com
a implantao de uma poltica de acesso central. Os dados que poderiam exigir proteo adicional
podem incluir registros de folha de pagamento, dados de histrico mdico, informaes pessoais
de funcionrios e listas de clientes da empresa. Voc tambm pode usar o direcionamento nas
regras de acesso central para identificar recursos aos quais deseja aplicar a poltica de acesso central.
2.
Defina as polticas de autorizao. Em geral, essas polticas so definidas a partir de seus requisitos
comerciais. Veja alguns exemplos:
o
Todos os documentos que tm a confidencialidade de propriedade definida como alta devem

estar disponveis somente para gerentes.
Os documentos de marketing de cada pas devem ser gravveis somente para o pessoal
de marketing do mesmo pas.
Apenas funcionrios de tempo integral devem poder acessar a documentao tcnica

de projetos anteriores.
3.
Converta as polticas de autorizao exigidas em expresses. No caso do Controle de Acesso

Dinmico, as expresses so atributos associados aos recursos (arquivos e pastas) e ao usurio ou
dispositivo que busca acesso aos recursos. Essas expresses declaram os requisitos de identificao
adicionais que devem ser atendidos para acessar os dados protegidos. Os valores associados a
qualquer expresso no recurso obrigam o usurio ou dispositivo a produzir o mesmo valor.
4.
Em seguida, voc deve dividir as expresses que criou e determinar quais tipos de declarao,
grupos de segurana, propriedades de recursos e declaraes de dispositivos voc deve criar
para implantar suas polticas. Em outras palavras, voc deve identificar os atributos para
a filtragem de acesso.
Observao: No necessrio usar declaraes de usurios para implantar polticas de

acesso central. Voc pode usar grupos de segurana para representar identidades de usurio.
recomendvel comear com grupos de segurana, pois isso simplifica os requisitos
de implantao iniciais.
3-11
Planejamento de classificaes de arquivos

Ao planejar a implementao do Controle de
Acesso Dinmico, voc deve incluir classificaes
de arquivos. Embora as classificaes de arquivos
no sejam obrigatrias para o Controle de Acesso
Dinmico, elas podem aprimorar a automao
de todo o processo. Por exemplo, se voc exigir
que todos os documentos classificados como
Confidencialidade: Alta estejam acessveis
somente para a diretoria, independentemente do
servidor no qual eles se encontram, pergunte-se
como voc identificaria esses documentos e como
os classificaria adequadamente.
A infraestrutura de classificao de arquivos usa a classificao baseada em local como Para esta
estrutura de pastas a Confidencialidade Alta e regras de classificao automtica para verificar
arquivos automaticamente e ento classific-los de acordo com seu contedo. As propriedades de
Classificao e Recurso so definidas centralmente no AD DS de forma que essas definies possam
ser compartilhadas entre servidores de arquivos na organizao. Voc pode criar regras de classificao
que verificam nos arquivos uma cadeia de caracteres padro ou que corresponda a um padro
(expresso regular). Quando um padro de classificao configurado localizado em um arquivo,
esse arquivo classificado como configurado na regra de classificao.
Ao planejar classificaes de arquivos, faa o seguinte:
Identifique qual classificao ou quais classificaes voc deseja se aplicar aos documentos.
Determine o mtodo que voc usar para identificar os documentos para classificao.
Defina a agenda de classificaes automticas.
Estabelea revises peridicas para determinar o xito das classificaes.
Voc configura as classificaes de arquivos no console do Gerenciador de Recursos de Servidor

de Arquivos.
Depois de ter definido as classificaes, voc poder planejar a implementao do Controle de Acesso
Dinmico definindo expresses condicionais que permitiro controlar o acesso a documentos altamente
confidenciais com base em atributos de usurio especficos.
Planejamento da auditoria de acesso a arquivos

No Windows Server 2008 R2 e no
Windows Server 2012, voc pode usar polticas
de auditoria avanadas para implementar uma
auditoria do sistema de arquivos detalhada
e mais precisa. No Windows Server 2012,
voc tambm pode implementar a auditoria
juntamente com o Controle de Acesso Dinmico
para utilizar as novas funcionalidades de auditoria
de segurana do Windows. Usando expresses
condicionais, possvel configurar a auditoria de
forma que ela ocorra apenas em casos especficos.
Por exemplo, voc pode desejar auditar tentativas de abrir pastas compartilhadas por usurios em pases
diferentes do pas onde a pasta compartilhada est localizada. Isso obtido por meio da implementao
de permisses propostas nas regras de acesso central.
Com a Auditoria de Acesso a Objetos Globais, os administradores podem definir SACLs (listas de
controle de acesso do sistema) do computador de acordo com o tipo de objeto do sistema de arquivos
ou do Registro. O SACL especificado ento aplicado automaticamente a cada objeto desse tipo. Voc
pode usar uma poltica de Auditoria de Acesso a Objetos Globais para impor a poltica de Auditoria
de Acesso a Objetos para um computador, um compartilhamento de arquivos ou o Registro, sem
configurar e propagar SACLs convencionais. Configurar e propagar uma SACL fazem parte de uma
tarefa administrativa complexa que difcil verificar, especialmente se voc precisa confirmar para
um auditor que uma poltica de segurana est sendo imposta.
Observao: Os auditores podem verificar se cada recurso no sistema est protegido
por uma poltica de auditoria exibindo o contedo da configurao da poltica de Auditoria
de Acesso a Objetos Globais.
As SACLs de recursos tambm so teis para cenrios de diagnstico. Por exemplo, a definio de uma
poltica de Auditoria de Acesso a Objetos Globais para registrar em log toda a atividade de um usurio
especfico e a habilitao das polticas de auditoria de Falhas de Acesso em um recurso como um sistema
de arquivos ou Registro podem ajudar os administradores a identificar rapidamente qual objeto em um
sistema est negando o acesso de um usurio.
Antes de implementar a auditoria, voc deve preparar um plano de auditoria. No plano de auditoria,
voc deveria identificar os recursos, os usurios e as atividades que deseja acompanhar. Voc pode
implementar a auditoria para vrios cenrios, como:
Acompanhamento de alteraes de atributos de usurios e computadores. Da mesma forma que

com arquivos, os objetos de usurios e computadores podem ter atributos e sua alterao pode
afetar o acesso dos usurios a arquivos. Portanto, pode ser til acompanhar as alteraes de atributos
de usurios ou computadores. Os objetos de usurios e computadores so armazenados no AD DS,
o que significa que voc pode acompanhar seus atributos usando a auditoria do Acesso ao Servio
de Diretrios.
Obteno de mais informaes de eventos de logon do usurio. No Windows Server 2012, um evento
de logon de usurio (evento 4624) contm informaes sobre o usurio que entrou no computador.
Voc pode exibir essas informaes adicionais usando as ferramentas de gerenciamento do log de
auditoria para correlacionar eventos de logon do usurio e eventos de acesso a objetos, e habilitando
a filtragem de eventos com base em atributos do arquivo e do usurio.
Fornecendo mais informaes de auditoria de acesso a objetos. No Windows Server 2012, agora os
eventos de acesso a arquivos 4656 e 4663 contm informaes sobre os atributos do arquivo que
foi acessado. As ferramentas de filtragem do log de eventos podem usar essas informaes adicionais
para ajudar a identificar os eventos de auditoria mais relevantes.
3-13
Acompanhamento de alteraes de polticas de acesso central, regras de acesso central e declaraes.

Como esses objetos so armazenados no AD DS, voc pode audit-los da mesma maneira que faria
com qualquer outro objeto protegvel no AD DS, usando a auditoria do Acesso ao Servio de
Diretrios.
Acompanhamento de alteraes de atributos do arquivo. Os atributos do arquivo determinam

qual poltica de acesso central se aplica ao arquivo. Uma alterao nos atributos do arquivo pode
possivelmente afetar as restries de acesso do arquivo. Voc pode acompanhar as alteraes de
atributos do arquivo em qualquer computador, configurando a auditoria de Alterao na Poltica
de Autorizao e a auditoria de Acesso a Objeto de sistemas de arquivos. O evento 4911
introduzido no Windows Server 2012 para diferenciar esse evento de outros eventos
de alterao de poltica de Autorizao.
Planejamento da Assistncia para Acesso Negado

A Assistncia para Acesso Negado, um recurso
no sistema operacional Windows 8, ajuda
os usurios finais a determinar por que eles
no podem acessar um recurso. Ele tambm
permite que a equipe de TI diagnostique um
problema corretamente e direcione a resoluo.
O Windows Server 2012 permite personalizar
mensagens sobre acesso negado e proporciona
aos usurios a capacidade de solicitar acesso
sem entrar em contato com o suporte tcnico
ou a equipe de TI. Em combinao com o
Controle de Acesso Dinmico, a Assistncia para
Acesso Negado pode informar o administrador de arquivos sobre declaraes de usurios e recursos,
permitindo que o administrador tome decises com base em informaes sobre como ajustar polticas
ou corrigir atributos do usurio, por exemplo, se o departamento estivesse listado como "RH" em vez
de "Recursos humanos".
Observao: Apenas dispositivos com o Windows 8 do suporte Assistncia
para Acesso Negado.
Ao planejar a Assistncia para Acesso Negado, voc deve incluir o seguinte:
Defina as mensagens que os usurios recebero ao tentar acessar recursos para os quais no tm
direitos de acesso. A mensagem deve ser informal e fcil de entender.
Determine se os usurios devem poder enviar uma solicitao de acesso por email e, nesse caso,
configure opcionalmente o texto que ser adicionado a suas mensagens de email.
Determine os destinatrios das mensagens de email de solicitao de acesso. Voc pode escolher
enviar o email para proprietrios de pastas, administradores do servidor de arquivos ou qualquer
outro destinatrio especificado. As mensagens sempre devem ser direcionadas pessoa apropriada.
Se voc tiver uma ferramenta de suporte tcnico ou uma soluo de monitoramento que permita
mensagens de email, tambm poder direcionar essas mensagens para gerar solicitaes de usurio
automaticamente em sua soluo de suporte tcnico.
Decida sobre os sistemas operacionais de destino. A Assistncia para Acesso Negado funciona
somente com o Windows 8 ou o Windows Server 2012.
Lio 3
Implantao do Controle de Acesso Dinmico

Para implantar o Controle de Acesso Dinmico, voc deve executar vrias etapas e configurar vrios
objetos. Nesta lio, voc aprender sobre a implementao e configurao do Controle de Acesso
Dinmico.
Objetivos da lio
Descrever os pr-requisitos para implementar o Controle de Acesso Dinmico.
Habilitar o suporte no AD DS para o Controle de Acesso Dinmico.
Implementar declaraes e objetos de propriedade de recursos.
Implementar regras de acesso central e polticas.
Implementar a auditoria de acesso a arquivos.
Implementar a Assistncia para Acesso Negado.
Implementar classificaes de arquivos.
Implementar alteraes da poltica de acesso central.
Pr-requisitos para implementar o Controle de Acesso Dinmico

Antes de implementar o Controle de
Acesso Dinmico, voc deve assegurar
que seus servidores atendam a determinados
pr-requisitos. A autorizao baseada em
declaraes exige a seguinte infraestrutura:
Windows Server 2012 com o recurso FSRM

(Gerenciador de Recursos de Servidor de
Arquivos) habilitado. Ele deve estar instalado
no servidor de arquivos que hospedar
os recursos que o Controle de Acesso
Dinmico proteger. O servidor de arquivos
que hospedar o compartilhamento deve ter
o Windows Server 2012 para poder ler as declaraes e os dados de autorizao de dispositivos de
um tquete Kerberos v5, converter as SIDs e as declaraes do tquete em um token de autenticao e
comparar os dados de autorizao no token com expresses condicionais no descritor de segurana.
Atualizao de esquema, ou pelo menos um controlador de domnio do Windows Server 2012

para armazenar as definies centrais de propriedades de recursos e polticas. No so necessrias
declaraes de usurios para grupos de segurana. Se voc usar declaraes de usurios, pelo menos
um controlador de domnio do Windows Server 2012 no domnio do usurio deve estar acessvel
para o servidor de arquivos de forma que o servidor de arquivos possa recuperar declaraes em
nome do usurio. Se voc usar declaraes de dispositivos, todos os controladores de domnio
no domnio do usurio e do dispositivo devero usar o sistema operacional Windows 8.
Observao: Apenas dispositivos com o Windows 8 usam declaraes de dispositivos.
3-15
O novo mecanismo de autorizao e auditoria exige extenses para o AD DS. Essas extenses compilam
o dicionrio de declaraes do Windows, que onde os sistemas operacionais Windows armazenam
declaraes para uma floresta do Active Directory. A autorizao de declaraes tambm depende
do KDC (Centro de Distribuio de Chaves Kerberos). O KDC do Windows Server 2012 contm os
aprimoramentos do Kerberos necessrios para transportar declaraes em um tquete Kerberos e a
identidade composta. O KDC do Windows Server 2012 tambm inclui um aprimoramento para dar
suporte poltica de proteo Kerberos. A poltica de proteo Kerberos uma implementao do Tnel
Seguro de Autenticao Flexvel, que fornece um canal protegido entre o cliente de Kerberos e o KDC.
Os pr-requisitos para usar declaraes so:
Se voc estiver usando declaraes em uma relao de confiana de floresta, dever ter controladores
de domnio do Windows Server 2012 em cada domnio.
Se voc estiver usando declaraes de dispositivos, dever ter um cliente Windows 8. Sistemas
operacionais Windows mais antigos no do suporte a declaraes de dispositivos.
Embora um controlador de domnio do Windows Server 2012 seja exigido ao usar declaraes de
usurios, no necessrio ter nvel funcional de floresta e um domnio Windows Server 2012, a menos
que voc deseje usar declaraes em uma relao de confiana de floresta. Isto significa que voc
tambm pode ter controladores de domnio no Windows Server 2008 e no Windows Server 2008 R2
com o nvel funcional de floresta localizado no Windows Server 2008.
Observao: A implementao do Controle de Acesso Dinmico em um ambiente
com vrias florestas tem requisitos de instalao adicionais.
Habilitao do suporte no AD DS para o Controle de Acesso Dinmico

Depois de cumprir os requisitos de software
para habilitar o suporte ao Controle de Acesso
Dinmico, voc deve habilitar o suporte a
declaraes para o KDC do Windows Server 2012.
O suporte Kerberos para o Controle de Acesso
Dinmico fornece um mecanismo para inclusive
declaraes de usurios e informaes de
autorizao de dispositivos em um token de
autenticao do Windows. Acesse as verificaes
realizadas com recursos (como arquivos ou
pastas), use essas informaes de autorizao
para confirmar sua identidade.
Voc deve usar primeiro a Poltica de Grupo para habilitar o AD DS para o Controle de Acesso Dinmico.
Como essa configurao especfica de controladores de domnio, voc pode criar um novo GPO (Objeto
de Poltica de Grupo) e depois vincular a configurao UO (unidade organizacional) Controladores
de Domnio ou editando o GPO Controladores de Domnio Padro que j est vinculado a essa UO.
Independentemente do mtodo que voc escolher, abra o Editor de Objeto de Poltica de Grupo,
expanda Configurao do Computador, expanda Polticas, expanda Modelos Administrativos,
expanda Sistema e expanda KDC. Nesse n, abra uma configurao chamada Suporte ao Controle
de Acesso Dinmico e poltica de proteo Kerberos.
Para definir a configurao da poltica de Suporte ao Controle de Acesso Dinmico e poltica

de proteo Kerberos, escolha um das quatro opes listadas:
No dar suporte ao Controle de Acesso Dinmico e poltica de proteo Kerberos
Dar suporte ao Controle de Acesso Dinmico e poltica de proteo Kerberos
Sempre fornecer declaraes e comportamento FAST RFC
Tambm falhar solicitaes de autenticao desprotegidas
O suporte a declaraes e poltica de proteo Kerberos est desabilitado por padro, o que
equivalente a no configurar essa poltica ou a sua configurao como No dar suporte ao Controle
de Acesso Dinmico e poltica de proteo Kerberos.
A configurao da poltica de Suporte ao Controle de Acesso Dinmico e poltica de proteo Kerberos
configura o Controle de Acesso Dinmico e a poltica de proteo Kerberos em um ambiente misto
quando h uma mistura de controladores de domnio do Windows Server 2012 e controladores
de domnio que executam verses anteriores do Windows Server. Para habilitar as declaraes
de dispositivos, voc tambm deve habilitar declaraes para clientes Windows 8.
Voc usa as configuraes de poltica restantes quando todos os controladores de domnio forem
controladores de domnio do Windows Server 2012 e o nvel funcional do domnio estiver
configurado para o Windows Server 2012. A configurao das polticas Sempre fornecer declaraes
e comportamento FAST RFC e Tambm falhar solicitaes de autenticao desprotegidas habilitam
o Controle de Acesso Dinmico e a poltica de proteo Kerberos para o domnio. Porm, a ltima
configurao de poltica exige que toda a comunicao do TGS (Servio de Concesso de Tquetes) e do
servio de autenticao Kerberos use a poltica de proteo Kerberos. Os controladores de domnio do
Windows Server 2012 leem essa configurao, enquanto outros controladores de domnio a ignoram.
Implementao de declaraes e objetos de propriedade de recursos

Depois de habilitar o suporte ao Controle
de Acesso Dinmico no AD DS, voc deve
criar e configurar declaraes e objetos
de propriedade de recursos.
Criao e configurao de tipos

de declaraes
Para criar e configurar declaraes, voc
usa principalmente a Central Administrativa
do Active Directory. Voc usa a Central
Administrativa do Active Directory para criar
declaraes baseadas em atributo, que so
o tipo mais comum de declarao. No entanto,
voc tambm pode usar o mdulo do Active Directory para o Windows PowerShell para criar
declaraes baseadas em certificado. Todas as declaraes so armazenadas na partio de configurao
do AD DS. Como essa partio abrange toda a floresta, todos os domnios na floresta compartilham o
dicionrio de declaraes, e os controladores dos domnios emitem informaes de declarao durante
a autenticao do usurio e do computador.
3-17
Para criar declaraes baseadas em atributo na Central Administrativa do Active Directory, navegue at
o n Controle de Acesso Dinmico e abra o continer Tipos de Declarao. Por padro, nenhum tipo de
declarao est definido aqui. No painel Aes, voc pode clicar em Criar Tipo de Declarao para exibir
a lista de atributos. Esses atributos so usados como origem de valores para declaraes. Quando voc
criar uma declarao, a associa com o atributo especfico. O valor desse atributo preenchido como um
valor de declarao. Portanto, essencial que as informaes dos atributos do Active Directory que so
usadas nos tipos de declarao de origem contenham informaes precisas ou permaneam em branco,
pois sero usadas para o controle de acesso de segurana.
Ao selecionar o atributo que deseja usar para criar uma declarao, voc tambm deve fornecer
um nome para a declarao. O nome sugerido para a declarao sempre igual ao nome do atributo
selecionado. Porm, voc tambm pode fornecer um nome alternativo ou mais significativo para
a declarao. Opcionalmente, voc pode fornecer valores sugeridos para uma declarao. Isso
no obrigatrio, mas recomendvel porque pode reduzir a possibilidade de cometer erros.
Voc tambm pode especificar a ID da declarao. Esse valor gerado automaticamente, mas voc
poder especificar a ID da declarao, se estiver definindo a mesma declarao para vrias florestas
e desejar usar a mesma ID.
Observao: Os tipos de declarao so originados de atributos do AD DS. Por isso,
voc deve configurar os atributos do computador e das contas de usurio no AD DS com
informaes corretas do respectivo usurio ou computador. Os controladores de domnio do
Windows Server 2012 no emitem uma declarao para um tipo de declarao baseado em
atributo quando o atributo da entidade de segurana da autenticao est vazio. Dependendo
da configurao dos atributos do objeto de propriedade do recurso do arquivo de dados,
um valor nulo em uma declarao pode resultar na negao de acesso do usurio ao
Controle de Acesso Dinmico dados protegidos.
Criao e configurao de propriedades do recurso

Embora as propriedades do recurso estejam no centro do Controle de Acesso Dinmico, voc deve
implement-los depois de definir as declaraes de usurios e dispositivos. Lembre-se de que, se
uma declarao no corresponder ao valor da propriedade do recurso especificado, o acesso aos
dados poder no ser permitido. Portanto, a inverso da ordem de implementao tornaria possvel
bloquear inadvertidamente o acesso de usurios a dados que, de outra forma, eles poderiam acessar.
Quando voc usa declaraes ou grupos de segurana para controlar o acesso a arquivos e pastas,
tambm deve fornecer informaes adicionais para esses recursos. Isso feito configurando os objetos
de propriedade de recursos. Voc gerencia as propriedades de recursos no continer Propriedades do
Recurso, localizado no n Controle de Acesso Dinmico, na Central Administrativa do Active Directory.
Voc pode criar suas prprias propriedades de recursos ou pode usar uma das propriedades
pr-configuradas, como Projeto, Departamento e Uso de Pastas. Todos os objetos de propriedade
de recursos predefinidos esto desabilitados por padro. Se desejar usar algum deles, deve primeiro
habilit-lo. Se desejar criar seu prprio objeto de propriedade do recurso, voc poder especificar
o tipo de propriedade e os valores permitidos ou sugeridos.
Ao criar objetos de propriedade de recursos, voc pode selecionar propriedades para incluir nos arquivos
e nas pastas. Ao avaliar a autorizao e a auditoria de arquivos, o sistema operacional Windows usa
os valores dessas propriedades juntamente com os valores das declaraes de usurios e dispositivos.
Depois de configurar as declaraes de usurios e dispositivos e as propriedades de recursos, voc deve
proteger os arquivos e as pastas usando expresses condicionais que avaliam as declaraes de usurios
e dispositivos em relao a valores constantes ou os valores das propriedades de recursos. Voc pode
fazer isso de uma destas trs maneiras:
Se desejar incluir apenas pastas especficas, voc poder usar o Editor de Configuraes de Segurana
Avanadas para criar expresses condicionais diretamente no descritor de segurana.
Para incluir vrios servidores de arquivos (ou todos), voc pode criar regras de poltica de acesso
central e vincular essas regras a objetos da Poltica Central. Voc pode ento usar a Poltica
de Grupo para implantar os objetos da Poltica Central a servidores de arquivos e configurar
o compartilhamento para usar o objeto da Poltica Central. Porm, o uso de polticas de acesso
central o mtodo mais eficiente e preferido para proteger arquivos e pastas. Isso abordado
melhor no prximo tpico.
Voc pode usar classificaes de arquivos para incluir determinados arquivos com um conjunto
comum de propriedades em vrias pastas ou vrios arquivos.
Voc pode usar declaraes e objetos de propriedades de recursos juntos em expresses condicionais.
O Windows Server 2012 e o Windows 8 do suporte a uma ou mais expresses condicionais em uma
entrada de permisso. As expresses condicionais simplesmente adicionam outra camada aplicvel
entrada de permisso. Os resultados de todas as expresses condicionais devem ser avaliados como
Verdadeiro para que o Windows conceda a entrada de permisso para a autorizao. Por exemplo,
suponha que voc defina uma declarao chamada Departamento para um usurio (com um atributo
de origem departamento) e um objeto de propriedade do recurso chamado Depart. Agora voc pode
definir uma expresso condicional que informa que o usurio poder acessar uma pasta (com os objetos
de propriedade de recursos aplicados) somente se o valor do atributo Departamento do usurio for igual
ao valor da propriedade Depart na pasta. Observe que, se o objeto de propriedade de recurso Depart
no tiver sido aplicado aos arquivos em questo ou se Depart tiver um valor nulo, o usurio ter acesso
aos dados.
Observao: O acesso no controlado pela declarao, mas pelo objeto de propriedade
do recurso. A declarao deve fornecer o valor correto correspondente aos requisitos definidos
pelo objeto de propriedade do recurso. Se o objeto de propriedade do recurso no envolver
um atributo especfico, atributos de declarao adicionais ou extras associados ao usurio
ou ao dispositivo sero ignorados.
3-19
Implementao de regras e polticas de acesso central

As polticas de acesso central permitem gerenciar
e implantar uma autorizao consistente por toda
a organizao usando regras de acesso central
e objetos da Poltica de Acesso Central.
As polticas de acesso central atuam como redes
de segurana que uma organizao aplica em
seus servidores. Voc usa a Poltica de Grupo
para implantar uma poltica de acesso central
e voc aplica as polticas manualmente a todos
os servidores de arquivos Windows Server 2012
que usaro o Controle de Acesso Dinmico.
Uma poltica de acesso central permite implantar
uma configurao consistente a vrios servidores de arquivos. Alm disso, voc pode usar o Kit de
Ferramentas de Classificao de Dados para aplicar uma poltica de acesso central compartilhada em
vrios servidores que relata quais polticas de acesso central so aplicadas a quais compartilhamentos.
O componente principal de uma poltica de acesso central a regra de acesso central. Os objetos
da Poltica de Acesso Central representam uma coleo de regras de acesso central. Antes de criar
uma poltica de acesso central, voc deve criar uma regra de acesso central porque as polticas
so compostas de regras.
Uma regra de acesso central contm vrios critrios que o sistema operacional Windows usa ao avaliar
o acesso. Por exemplo, uma regra de acesso central pode usar expresses condicionais para segmentar
arquivos e pastas especficos. Cada regra de acesso central tem uma condio que determina quais
informaes a regra segmenta, alm de vrias listas de entradas de permisso que voc usa para
gerenciar as entradas de permisso atuais ou propostas da regra. Voc tambm pode retornar a lista
de entradas de permisso atual da regra para sua ltima lista conhecida de entradas de permisso.
Cada regra de acesso central pode ser membro de um ou mais objetos da Poltica de Acesso Central.
Configurao de regras de acesso central

Normalmente, voc cria e configura regras de acesso central na Centro Administrativo do
Active Directory. Porm, tambm possvel usar o Windows PowerShell para executar a mesma tarefa.
Para criar uma nova regra de acesso central, faa o seguinte:
1.
Fornea um nome e uma descrio para a regra. Voc tambm deve optar por proteger a regra
contra excluso acidental.
2.
Configure os recursos de destino. Na Central Administrativa do Active Directory, use a seo Recursos
de Destino para criar um escopo para a regra de acesso. Voc cria o escopo usando propriedades
de recursos em uma ou mais expresses condicionais. Voc deseja criar uma condio de destino
baseada no requisito de negcios que orienta essa regra. Por exemplo, Resource.Compliancy=HIPAA.
Para simplificar o processo, voc pode manter o valor padro (Todos os recursos), mas em geral voc
aplica alguma filtragem de recursos. Voc pode unir as expresses condicionais usando operadores
lgicos, como AND e OR. Alm disso, possvel agrupar expresses condicionais para combinar
os resultados de duas ou mais expresses condicionais unidas. A seo Recursos de Destino
exibe a expresso condicional configurada no momento que est sendo usada para controlar
a aplicabilidade da regra.
3.
Configure as permisses com uma das seguintes opes:

o
Usar as seguintes permisses como propostas. Selecione essa opo para adicionar as
entradas de permisses da lista de permisses lista de entradas de permisses propostas
para a regra de acesso central recm-criada. Voc pode combinar as lista de permisses
propostas com a auditoria do sistema de arquivos para modelar o acesso efetivo que
os usurios tm ao recurso, sem precisar alterar as entradas de permisses na lista de
permisses atual. As permisses propostas geram um evento de auditoria especial
para o log de eventos que descreve o acesso efetivo proposto para os usurios.
Observao: As permisses propostas no se aplicam a recursos; elas existem somente

para fins de simulao.
o
Usar as seguintes permisses como atuais. Selecione essa opo para adicionar as entradas
de permisses da lista de permisses lista de entradas de permisses atuais para a regra de
acesso central recm-criada. A lista de permisses atuais representa as permisses adicionais
que o sistema operacional Windows considera quando voc implanta a regra de acesso central
a um servidor de arquivos. As regras de acesso central no substituem a segurana existente.
Ao tomar decises de autorizao, o Windows avalia as entradas de permisso da lista de
permisses atuais da regra de acesso central, NTFS e listas de permisses de compartilhamento.
Quando estiver satisfeito com as permisses propostas, voc poder convert-las em permisses atuais.
Alternativamente, voc pode usar as permisses atuais em um ambiente de teste e o acesso efetivo como
especificado na guia Segurana Avanada para modelar como a poltica se aplica a usurios diferentes.
Implementao da auditoria de acesso a arquivos

O recurso Auditoria de Acesso a Objetos Globais
no Windows 8 e no Windows Server 2012
permite configurar a auditoria de acesso a objetos
de cada arquivo e pasta no sistema de arquivos
de um computador. Voc usa esse recurso para
gerenciar e configurar centralmente sistemas
operacionais Windows para monitorar cada
arquivo e cada pasta no computador. Para
habilitar a auditoria de acesso a objetos em
verses anteriores do Windows Server, voc deve
configurar essa opo em polticas de auditoria
bsicas (em GPOs) e ativar a auditoria de uma
entidade de segurana especfica na SACL do objeto. s vezes, essa abordagem no se ajusta facilmente
s polticas da empresa como Registrar em log toda a atividade de gravao administrativa em
servidores que contm informaes financeiras porque voc pode ativar o registro da auditoria
de acesso a objetos em nvel de objeto, mas no em nvel de servidor. A nova categoria de auditoria no
Windows Server 2008 R2 e no Windows Server 2012 permite aos administradores gerenciar a auditoria
de acesso a objetos usando um escopo muito mais amplo.
3-21
O Controle de Acesso Dinmico permite criar polticas de auditoria direcionadas usando propriedades
de recursos e expresses com base em declaraes de usurios e computadores. Por exemplo, voc
pode criar uma poltica de auditoria para acompanhar todas as operaes de Leitura e Gravao em
arquivos altamente confidenciais executadas por funcionrios que no tm um atributo de Liberao
de Segurana Alta preenchido com o valor apropriado. Voc pode criar polticas de auditoria baseadas
em expresso diretamente em um arquivo ou uma pasta, ou centralmente por meio da Poltica de Grupo
usando a Auditoria de Acesso a Objetos Globais. Usando essa abordagem, voc no impede o acesso
no autorizado; em vez disso, registra as tentativas de acesso ao contedo por pessoas no autorizadas.
Voc configura a Auditoria de Acesso a Objetos Globais ao habilitar a auditoria de acesso a objetos
e a auditoria de acesso a objetos globais. A habilitao desse recurso ativa a auditoria do computador
que aplica a configurao de poltica. Porm, habilitar somente a auditoria nem sempre gera eventos
de auditoria. O recurso nesta instncia, arquivos e pastas deve conter entradas de auditoria
em sua ACL.
Voc deve configurar a Auditoria de Acesso a Objetos Globais para sua empresa usando a poltica de
segurana de um GPO baseado em domnio. As duas configuraes de poltica de segurana que so
exigidas para habilitar a auditoria de acesso a objetos globais esto localizadas nos seguintes locais:
Configurao do Computador\Configuraes do Windows\Configuraes de Segurana\Poltica

de Auditoria Avanada\Polticas de Auditoria\Acesso a Objeto\Auditoria de Sistema de Arquivos
Configurao do Computador\Configuraes do Windows\Configuraes de Segurana\Poltica de

Auditoria Avanada\Poltica de Auditoria\Auditoria de Acesso a Objetos Globais\Sistema de Arquivos
A Auditoria de Acesso a Objetos Globais inclui uma subcategoria para o sistema de arquivos e o Registro.
Todos os eventos de auditoria de acesso a arquivos tambm incluem os valores de propriedade de
recursos nos eventos de auditoria, de forma que voc possa usar esses valores para relatrios avanados,
como quem acessou todos os dados financeiros. Faa isto usando ferramentas como o Microsoft System
Center para coletar todos os eventos em um banco de dados SQL central e gerar relatrios baseado
nesses eventos.
Observao: Se uma SACL de arquivo ou pasta e uma poltica de Auditoria de Acesso a
Objetos Globais (ou uma nica SACL de configurao do Registro e uma poltica de Auditoria de
Acesso a Objetos Globais) esto configuradas em um computador, a SACL efetiva derivada da
combinao da SACL de arquivo ou pasta e da poltica de Auditoria de Acesso a Objetos Globais.
Isso significa que um evento de auditoria ser gerado se uma atividade corresponder SACL de
arquivo ou pasta ou poltica de Auditoria de Acesso a Objetos Globais. Se forem configuradas
vrias polticas de auditoria globais para o mesmo servidor, as polticas de auditoria sero
combinadas em uma poltica de auditoria global para esse servidor.
Implementao da Assistncia para Acesso Negado

Um dos erros mais comuns que os usurios
recebem ao tentar acessar um arquivo ou
uma pasta em um servidor de arquivos remoto
o erro de acesso negado. Normalmente, esse
erro ocorre quando um usurio tenta acessar
um recurso sem ter as permisses apropriadas
para isso ou por causa de ACLs de recursos ou
permisses configuradas incorretamente. O uso
do Controle de Acesso Dinmico poder criar
mais complicaes, caso seja implementado
incorretamente. Por exemplo, no ser concedido
acesso a usurios com permisses se um atributo
relevante em sua conta tiver sido digitado incorretamente.
Quando os usurios recebem esse erro, normalmente eles tentam entrar em contato com o administrador
para obter acesso. Porm, em geral, os administradores no aprovam o acesso aos recursos, ento eles
redirecionam os usurios para a aprovao por outra pessoa.
No Windows Server 2012, h um novo recurso para ajudar usurios e administradores nessas situaes.
Esse recurso chamado de Assistncia para Acesso Negado. A Assistncia para Acesso Negado ajuda os
usurios na resposta a problemas de acesso negado sem envolver a equipe de TI. Isso feito fornecendo
informaes sobre o problema e direcionando os usurios pessoa adequada.
Correo de acesso negado

O recurso Assistncia para Acesso Negado fornece trs modos de solucionar problemas com erros
de acesso negado:
Autocorreo. Os administradores podem criar mensagens de acesso negado personalizadas de

autoria do administrador do servidor. Usando as informaes nessas mensagens, os usurios podem
tentar corrigir eles mesmos os casos de acesso negado. A mensagem tambm pode incluir URLs
que direcionam os usurios para sites de autocorreo fornecidos pela organizao. Por exemplo,
a URL pode direcionar o usurio para alterar a senha de um aplicativo ou baixar uma cpia
atualizada do software do cliente.
Correo pelo proprietrio dos dados. Os administradores podem definir proprietrios para as
pastas compartilhadas. Assim, os usurios podem enviar mensagens de email para os proprietrios
dos dados para solicitar acesso. Por exemplo, se um usurio for acidentalmente excludo de uma
associao de grupo de segurana ou se o atributo de departamento do usurio for digitado
incorretamente, o proprietrio dos dados pode adicionar o usurio ao grupo. Se o proprietrio dos
dados no souber como conceder acesso ao usurio, ele poder encaminhar essas informaes para
o administrador de TI apropriado. Isso til porque o nmero de solicitaes de suporte de usurios
que so escaladas para o suporte tcnico deve limitar-se a casos especializados ou difceis de resolver.
Correo pelos administradores de suporte tcnico e do servidor de arquivos. Se os usurios no

puderem corrigir sozinhos os problemas e os proprietrios dos dados tambm no conseguirem
resolver o problema, os administradores podero solucionar problemas acessando uma interface
do usurio para exibir as permisses efetivas do usurio. Exemplos de quando um administrador
deve ser envolvido so os casos em que atributos de declaraes ou atributos de objeto de recursos
so definidos incorretamente ou contm informaes incorretas, ou quando os prprios dados
parecem estar corrompidos.
3-23
Voc usa a Poltica de Grupo para habilitar o recurso Assistncia para Acesso Negado. Abra o Editor
de Objeto de Poltica de Grupo e navegue at Configurao do Computador\Polticas\Modelos
Administrativos\Sistema\Assistncia para Acesso Negado. No n Assistncia para Acesso
Negado, voc pode habilitar a Assistncia para Acesso Negado e tambm pode fornecer mensagens
personalizadas para os usurios. Alternativamente, voc tambm pode usar o console do FSRM
para habilitar a Assistncia para Acesso Negado. Porm, se a Assistncia para Acesso Negado estiver
habilitada na Poltica de Grupo, as configuraes apropriadas no console do FSRM sero desabilitadas
para configurao.
Voc tambm pode usar a pgina Propriedades de Gerenciamento do FSRM para configurar uma
mensagem personalizada de Assistncia para Acesso Negado para uma rvore de pastas especfica
no servidor, por exemplo, uma mensagem por compartilhamento.
Implementao de classificaes de arquivos

Para implementar o Controle de Acesso Dinmico
de forma eficiente, voc deve propriedades de
recursos e declaraes bem definidas. Embora
as declaraes sejam definidas por atributos de
um usurio ou um dispositivo, mais frequente
que as propriedades de recursos sejam criadas
e definidas manualmente. As classificaes de
arquivos permitem aos administradores definir
procedimentos automticos para definir uma
propriedade desejada no arquivo, com base
em condies especificadas em uma regra
de classificao. Por exemplo, voc pode definir
a propriedade Confidencialidade como Alta em todos os documentos cujo contedo inclui a palavra
segredo. Voc poderia usar essa propriedade no Controle de Acesso Dinmico para especificar que
apenas os funcionrios com atributos employeetype definidos como Gerente podem acessar esses
documentos.
No Windows Server 2008 R2 e no Windows Server 2012, as tarefas de gerenciamento de classificao
e gerenciamento de arquivo permitem aos administradores gerenciar grupos de arquivos com base
em vrios atributos de arquivo e pasta. Com elas, voc pode automatizar tarefas de manuteno
de arquivos e pastas, como limpar dados obsoletos ou proteger informaes confidenciais.
O gerenciamento de classificao foi criado para facilitar a carga e o gerenciamento de dados espalhados
pela organizao. Voc pode classificar arquivos de vrios modos. Na maioria dos cenrios, voc classifica
arquivos manualmente. A infraestrutura de classificao de arquivos no Windows Server 2008 R2 permite
que as organizaes convertam esses processos manuais em polticas automatizadas. Os administradores
podem especificar polticas de gerenciamento de arquivos com base na classificao de um arquivo
e ento aplicar requisitos corporativos para gerenciar dados com base em um valor comercial.
Voc pode usar a classificao de arquivo para executar as seguintes aes:
Definir propriedades de classificao e valores que voc pode ento atribuir a arquivos executando
regras de classificao.
Classificar uma pasta de forma que todos os arquivos dentro da estrutura de pastas herdem
a classificao.
Criar, atualizar e executar regras de classificao. Cada regra atribui uma nica propriedade
predefinida e um nico valor aos arquivos de um diretrio especificado com base em plug-ins
de classificao instalados.
Ao executar uma regra de classificao, reavalie os arquivos que j foram classificados. Voc pode
optar por substituir os valores de classificao existentes ou adicionar o valor a propriedades que
suportam diversos valores. Voc tambm pode desclassificar os arquivos que atendem mais aos
critrios de classificao.
Implementao de alteraes da poltica de acesso central

Depois que implementar o Controle de Acesso
Dinmico, talvez seja necessrio fazer algumas
alteraes. Por exemplo, voc pode ter que
atualizar expresses condicionais ou talvez
queira alterar as declaraes. Porm, voc deve
planejar qualquer alterao de componentes
do Controle de Acesso Dinmico com cuidado.
A alterao de uma poltica de acesso central
pode afetar o acesso drasticamente. Por exemplo,
uma alterao pode potencialmente conceder
mais acesso que o desejado ou pode restringir
demais uma poltica, resultando em um nmero
excessivo de chamadas de suporte tcnico. Como prtica recomendada, voc deve testar as alteraes
antes de implementar uma atualizao da poltica de acesso central.
Para essa finalidade, o Windows Server 2012 introduz o conceito de preparao. A preparao permite
aos usurios verificar suas atualizaes de polticas propostas antes de sua imposio. Para usar a
preparao, voc implanta a poltica proposta junto com as polticas impostas, mas na verdade no
concede ou nega permisses. Em vez disso, o sistema operacional Windows registra em log um evento
de auditoria (evento 4818) sempre que o resultado da verificao de acesso que est usando a poltica
preparada diferente do resultado de uma verificao de acesso que est usando a poltica imposta.
Laboratrio: Implementao do Controle

de Acesso Dinmico
Cenrio
A equipe de pesquisa da A. Datum Corporation est envolvida em um trabalho confidencial que
agrega muito valor ao negcio. Alm disso, outros grupos na A. Datum, como o departamento
executivo, frequentemente armazena arquivos que contm informaes crticas para os negcios
nos servidores de arquivos da empresa. O departamento de segurana deseja assegurar que esses
arquivos confidenciais estejam acessveis somente para o pessoal devidamente autorizado, e que
todo o acesso a esses arquivos seja auditado.
Como um dos administradores snior de rede da A. Datum, voc responsvel por lidar com esses
requisitos de segurana implementando o Controle de Acesso Dinmico nos servidores de arquivos.
Voc trabalhar de perto com os grupos de negcios e o departamento de segurana para identificar
quais arquivos precisam ser protegidos e quem deve ter acesso a esses arquivos. Voc implementar
ento o Controle de Acesso Dinmico com base nos requisitos da empresa.
Objetivos
Planejar a implementao do Controle de Acesso Dinmico.
Configurar declaraes de usurios e dispositivos
Configurar definies de propriedades de recursos
Configurar regras e polticas de acesso central.
Validar e corrigir o Controle de Acesso Dinmico
Implementar novas polticas de recursos
Mquinas virtuais
24412B-LON-DC1
24412B-LON-SVR1
24412B-LON-CL1
24412B-LON-CL2
Nome de Usurio
Senha
Pa$$w0rd
1.

2.
3.
3-25
4.

o
Senha: Pa$$w0rd
5.
Repita as etapas 2 a 4 para 24412B-LON-SVR1.
6.
No inicie 24412B-LON-CL1 e 24412B-LON-CL2 at receber instrues.
Exerccio 1: Planejamento da implementao do Controle

de Acesso Dinmico
Cenrio
A A. Datum Corporation deve assegurar que os documentos usados pela equipe de pesquisa e o
departamento executivo sejam protegidos. A maioria dos arquivos usados por esses departamentos
so armazenados atualmente em pastas compartilhadas exclusivas dos departamentos, mas, s vezes,
documentos confidenciais aparecem em outras pastas compartilhadas. Somente os membros da
equipe de pesquisa devem poder acessar as pastas da equipe de pesquisa e apenas os gerentes
do departamento executivo devem poder acessar documentos altamente confidenciais.
O departamento de segurana tambm est preocupado com o fato dos gerentes estarem acessando
os arquivos usando seus computadores residenciais, que podem no ser muito seguros. Portanto, voc
deve criar um plano para proteger os documentos independentemente de onde eles estejam localizados,
alm de assegurar que os documentos possam ser acessados somente de computadores autorizados.
Os computadores autorizados dos gerentes so membros do grupo de segurana ManagersWks.
O departamento de suporte relata que um grande nmero de chamadas gerado por usurios
que no conseguem acessar recursos. Voc deve implementar um recurso que ajude os usurios a
entender melhor as mensagens de erro, o que permitir que eles solicitem acesso automaticamente.
1.
Planejar a implantao do Controle de Acesso Dinmico.
2.
Preparar o AD DS para dar suporte ao Controle de Acesso Dinmico.
Tarefa 1: Planejar a implantao do Controle de Acesso Dinmico
Com base no cenrio, descreva como voc criar o Controle de Acesso Dinmico para atender
aos requisitos de controle de acesso.
Tarefa 2: Preparar o AD DS para dar suporte ao Controle de Acesso Dinmico

1.
Em LON-DC1, no Gerenciador do Servidor, abra Usurios e Computadores do Active Directory.
2.
Crie uma nova UO chamada Test.
3.
Mova os objetos dos computadores LON-CL1, LON-CL2 e LON-SVR1 para a UO Teste.
4.
Em LON-DC1, no Gerenciador do Servidor, abra o Console de Gerenciamento de Poltica

de Grupo.
5.
Remova a configurao Bloquear Herana que se aplica UO Managers. Isso para remover
a configurao de bloquear herana usada em um mdulo posterior do curso.
6.
Edite o GPO Default Domain Controllers Policy.
7.
No Editor de Gerenciamento de Poltica de Grupo, em Configurao do Computador, expanda

Polticas, expanda Modelos Administrativos, expanda Sistema e clique em KDC.
8.
Habilite a configurao da poltica Suporte do KDC a declaraes, autenticao composta

e proteo Kerberos.
9.
Na seo Opes, clique em Suportado.
3-27
10. Em LON-DC1, atualize a Poltica de Grupo.

11. Abra Usurios e Computadores do Active Directory e, no continer Users, crie um grupo
de segurana chamado ManagersWKS.
12. Adicione LON-CL1 ao grupo ManagersWKS.
13. Verifique se o usurio Aidan Delaney membro do departamento Managers e se Allie Bellew
membro do departamento Research. As entradas de departamento devem ser preenchidas
no atributo apropriado de cada perfil de usurio.
Resultados: Depois de concluir este exerccio, voc ter planejado a implantao do Controle de Acesso
Dinmico e preparado o AD DS para a implementao do Controle de Acesso Dinmico.
Exerccio 2: Configurao de declaraes de usurios e dispositivos

Cenrio
A primeira etapa na implementao do Controle de Acesso Dinmico configurar as declaraes
dos usurios e dispositivos que acessam os arquivos. Neste exerccio, voc examinar as declaraes
padro e criar novas declaraes com base nos atributos de departamento e descrio do computador.
Para os usurios, voc criar uma declarao para um atributo de departamento. Para os computadores,
voc criar uma declarao para um atributo de descrio.
1.
Examinar os tipos de declarao padro.
2.
Configurar declaraes para usurios.
3.
Configurar declaraes para dispositivos.
Tarefa 1: Examinar os tipos de declarao padro

1.
Em LON-DC1, no Gerenciador do Servidor, abra a Central Administrativa do Active Directory.
2.
Na Central Administrativa do Active Directory, clique no n Controle de Acesso Dinmico.
3.
Abra o continer Claim Types e certifique-se de que no haja nenhuma declarao padro definida.
4.
Abra o continer Resource Properties e observe que todas as propriedades esto desabilitadas
por padro.
5.
Abra o continer Resource Property Lists e abra as propriedades da Global Resource

Property List.
6.
Na seo Propriedades do Recurso, examine as propriedades de recursos disponveis e clique

em Cancelar.
Tarefa 2: Configurar declaraes para usurios

1.
Na Central Administrativa do Active Directory, no painel de navegao, clique em Controle

de Acesso Dinmico.
2.
Abra o continer Claim Types e crie um novo tipo de declarao para usurios e computadores
usando as seguintes configuraes:
o
Atributo de Origem: department
Nome para exibio: Departamento da Empresa
Tarefa 3: Configurar declaraes para dispositivos

1.
Na Central Administrativa do Active Directory, no painel Tarefas, clique em Nova e clique

em Tipo de Declarao.
2.
Crie um novo tipo de declarao para computadores usando as seguintes configuraes:

o
Atributo de Origem: description
Nome para exibio: descrio
Resultados: Depois de concluir este exerccio, voc ter examinado os tipos de declarao padro,
configurado declaraes para usurios e para dispositivos.
Exerccio 3: Configurao de definies de propriedades de recursos

Cenrio
A segunda etapa na implementao do Controle de Acesso Dinmico consiste em configurar as listas
e as definies de propriedades de recursos. Depois de fazer isso, voc deve fazer uma nova regra de
classificao de todos os arquivos que contm a palavra segredo. Esses arquivos devem ter um valor
Alto atribudo ao atributo Confidencialidade. Voc tambm deve atribuir a propriedade departamento
pasta que pertence equipe de pesquisa.
1.
Configurar definies de propriedades de recursos.
2.
Classificar arquivos.
3.
Atribuir propriedades a uma pasta.
Tarefa 1: Configurar definies de propriedades de recursos

1.
Na Central Administrativa do Active Directory, clique em Controle de Acesso Dinmico e abra

o continer Resource Properties.
2.
Habilite as propriedades de recursos Department e Confidentiality.
3.
Abra Propriedades da propriedade Department.
4.
Adicione Pesquisa como valor sugerido.
5.
Abra a Global Resource Property List, verifique se Department e Confidentiality esto includas na
lista e clique em Cancelar.
6.
Feche a Central Administrativa do Active Directory.
Tarefa 2: Classificar arquivos

1.
Em LON-SVR1, abra o Gerenciador de Recursos do Servidor de Arquivos.
2.
Atualize Propriedades de Classificao e verifique se as propriedades Confidentiality

e Department esto listadas.
3.
Crie uma regra de classificao com os seguintes valores:

o
Nome: Definir Confidencialidade
Escopo: C:\Docs
Mtodo de classificao: Classificador de Contedo
Propriedade: Confidentiality
Valor: High
Parmetros de Classificao: Cadeia de caracteres secreto
Tipo de avaliao: Reavaliar os valores de propriedade existentes e clique em Substituir

o valor existente
4.
Execute a regra de classificao.
5.
Abra uma janela do Explorador de Arquivos, navegue at a pasta C:\Docs e abra a janela
Propriedades dos arquivos Doc1.txt, Doc2.txt e Doc3.txt.
6.
Verifique os valores de Confidencialidade. Doc1.txt e Doc2.txt devem ter a confidencialidade

definida como Alta.
Tarefa 3: Atribuir propriedades a uma pasta

1.
Em LON-SVR1, abra o Explorador de Arquivos.
2.
Navegue at C:\Research e abra suas propriedades.
3.
Na guia Classificao, defina o valor de Department como Research.
Resultados: Depois de concluir este exerccio, voc ter configurado as propriedades de recursos
para arquivos, arquivos classificados e propriedades atribudas a uma pasta.
Exerccio 4: Configurao de regras e polticas de acesso central

Cenrio
Agora que configurou as definies de propriedades de recursos, voc precisa configurar as regras
e polticas de acesso central e que vincularo as declaraes e as definies de propriedades.
1.
Configurar regras de acesso central.
1.
Criar uma poltica de acesso central.
2.
Publique uma poltica de acesso central usando a Poltica de Grupo.
3.
Aplicar a poltica de acesso central a recursos.
4.
Definir configuraes de correo de acesso negado.
3-29
Tarefa 1: Configurar regras de acesso central

1.
Em LON-DC1, no Gerenciador do Servidor, clique em Ferramentas e clique em Central

Administrativa do Active Directory.
2.
Clique em Controle de Acesso Dinmicoe abra o continer Central Access Rules.
3.
Crie uma nova Regra de Acesso Central com os seguintes valores:
4.
Nome: Correspondncia de Departamento
Recurso de destino: use condition Recurso-Department-Igual-Valor-Research
Permisses atuais:
Remover Administradores
Adicionar Usurios Autenticados,
Modificar, com a condio Usurio-Departmento da Empresa-Igual-RecursoDepartment
Crie outra Regra de Acesso Central com os seguintes valores:

o
Nome: Acessar Documentos Confidenciais
Recurso de destino: use condition Recurso-Confidentiality-Igual-Valor-High
Permisses atuais:
Remover Administradores
Adicionar Usurios autenticados
Modificar e set first condition to: Usurio-Grupo-Membro de cada-Valor-Managers
Permisses: Definir a segunda condio como: Device-Grupo-Membro de cada-ValueManagersWKS
Tarefa 2: Criar uma poltica de acesso central

1.
2.
3.
Em LON-DC1, no Centro Administrativo do Active Directory, crie uma nova Central Access Policies
com os seguintes valores:
o
Nome: Proteger documentos confidenciais
Regras includas: Acessar Documentos Confidenciais
Crie outra Poltica de Acesso Central com os seguintes valores:

o
Nome: Correspondncia de Departamento
Regras includas: Correspondncia de Departamento
Feche o Centro Administrativo do Active Directory.
Tarefa 3: Publique uma poltica de acesso central usando a Poltica de Grupo

1.
Em LON-DC1, no Gerenciador do Servidor, abra o Console de Gerenciamento de Poltica

de Grupo.
2.
Crie um novo GPO chamado Poltica DAC e, no domnio Adatum.com, vincule-o UO Teste.
3.
Edite a Poltica DAC, navegue at Configurao do Computador/Polticas/

Configuraes do Windows/Configuraes de Segurana/Sistema de Arquivos e clique
com o boto direito do mouse em Poltica de Acesso Central.
3-31
4.
Clique em Gerenciar Polticas de Acesso Central.
5.
Clique em Correspondncia de Departamento e clique em Proteger documentos confidenciais,

clique em Adicionar e clique em OK.
6.
Feche o Editor de Gerenciamento de Poltica de Grupo e o Console de Gerenciamento de Poltica

de Grupo.
Tarefa 4: Aplicar a poltica de acesso central a recursos

1.
Em LON-SVR1, use o Windows PowerShell para atualizar a Poltica de Grupo em LON-SVR1.
2.
Abra o Explorador de Arquivos e navegue at a pasta C:\Docs.
3.
Aplique a poltica central Proteger documentos confidenciais pasta C:\Docs.
4.
Navegue at a pasta C:\Pesquisa.
5.
Aplique a poltica central Correspondncia de Departamento pasta C:\Pesquisa.
Tarefa 5: Definir configuraes de correo de acesso negado

1.
Em LON-DC1, abra o Console de Gerenciamento de Poltica de Grupo e navegue at Objetos

de Poltica de Grupo.
2.
Editar a Poltica DAC.
3.
No n Configurao do Computador, navegue at Polticas\Modelos Administrativos\Sistema

e clique em Assistncia dee Acesso Negado.
4.
No painel direito, clique duas vezes em Personalizar Mensagem para erros de Acesso Negado.
5.
Na janela Personalizar Mensagem para erros de Acesso Negado, clique em Habilitado.
6.
Na caixa de texto Exiba a seguinte mensagem aos usurios que tiveram acesso negado,
digite Seu acesso foi negado devido poltica de permisses. Solicite o acesso.
7.
Marque a caixa de seleo Permitir que os usurios solicitem assistncia e clique em OK.
8.
Clique duas vezes em Habilitar a assistncia de acesso negado no cliente para todos os tipos
de arquivo, habilite-a e clique em OK.
9.

de Grupo.
10. Alterne para LON-SVR1 e atualize a Poltica de Grupo.
Resultados: Depois de concluir este exerccio, voc ter configurado regras e polticas de acesso central
para o Controle de Acesso Dinmico.
Exerccio 5: Validao e correo do Controle de Acesso Dinmico

Cenrio
Para assegurar que as configuraes do Controle de Acesso Dinmico sejam definidas corretamente,
voc precisa testar vrios cenrios de acesso. Voc testar os usurios e dispositivos aprovados, e os
usurios e dispositivos no aprovados. Voc tambm validar a configurao de correo de acesso.
1.
Validar a funcionalidade do Controle de Acesso Dinmico.
Tarefa 1: Validar a funcionalidade do Controle de Acesso Dinmico

1.
Inicie e entre em LON-CL1 como Adatum\April com a senha Pa$$w0rd.
2.
Clique no bloco rea de Trabalho e abra o Explorador de Arquivos.
3.
Navegue at \\LON-SVR1\Docs e verifique que voc pode abrir apenas Doc3.
4.
Tente acessar \\LON-SVR1\Research. Voc no deve obter acesso.
5.
Saia de LON-CL1.
6.
Entre em LON-CL1 como Adatum\Allie com a senha Pa$$w0rd.
7.
Abra o Explorador de Arquivos e tente acessar \\LON-SVR1\Research. Voc deve ter acesso
e conseguir abrir os arquivos da pasta.
8.
Saia de LON-CL1.
9.
Entre em LON-CL1 como Adatum\Aidan com a senha Pa$$w0rd.
10. Abra o Explorador de Arquivos e tente acessar \\LON-SVR1\Docs. Voc deve poder abrir todos
os arquivos nessa pasta.
11. Saia de LON-CL1.
12. Inicie e entre em LON-CL2 como Adatum\Aidan com a senha Pa$$w0rd.
13. Abra o Windows Explorer e tente acessar \\LON-SVR1\Docs. Voc no deve poder ver Doc1
e Doc2, porque LON-CL2 no tem permisso para exibir documentos secretos.
Resultados: Depois de concluir este exerccio, voc ter validado a funcionalidade do Controle de
Acesso Dinmico.
Exerccio 6: Implementao de novas polticas de recursos

Cenrio
Como uma etapa final na implementao do Controle de Acesso Dinmico, voc testar o efeito
de implementar uma nova poltica de recurso.
1.
Configurar a preparao de uma poltica de acesso central.
2.
Configurar permisses de preparao.
3.
Verificar a preparao.
4.
Usar permisses efetivas para testar o Controle de Acesso Dinmico.
Tarefa 1: Configurar a preparao de uma poltica de acesso central

1.
2.
Abra o Editor de Gerenciamento de Poltica de Grupo de Poltica DAC.
3.
Navegue at Configurao do Computador\Polticas\Configuraes do Windows\

Configuraes de Segurana\Configurao Avanada de Poltica de Auditoria\
Polticas de Auditoria e clique em Acesso a Objeto.
3-33
4.
Clique duas vezes em Preparo de Poltica de Acesso Central de Auditoria, marque as trs caixas
de seleo e clique em OK.
5.
Clique duas vezes em Auditoria de Sistema de Arquivos, marque as trs caixas de seleo e clique
em OK.
6.

de Grupo.
Tarefa 2: Configurar permisses de preparao

1.
Em LON-DC1, abra o Centro Administrativo do Active Directory e abra as propriedades da regra

de acesso central Correspondncia de Departamento.
2.
Na seo Permisses propostas, configure a condio de Usurios Autenticados como UsurioDepartmento da Empresa-Igual-Valor-Marketing.
3.
Em LON-SVR1, atualize as permisses.
Tarefa 3: Verificar a preparao

1.
Entre em LON-CL1 como Adatum\Adam com a senha Pa$$w0rd.
2.
No Explorador de Arquivos, tente acessar \\LON-SVR1\Pesquisa e os arquivos contidos na pasta.
3.
Alterne para LON-SVR1.
4.
Abra o Visualizador de Eventos, abra o Log de segurana, procure e examine os eventos

com a ID 4818.
Tarefa 4: Usar permisses efetivas para testar o Controle de Acesso Dinmico

1.
Em LON-SVR1, abra as propriedades da pasta C:\Research.
2.
Abra as opes Avanadas de Segurana e clique em Acesso Efetivo.
3.
Clique em selecionar um usurio.
4.
Na janela Selecionar Usurio, Computador, Conta de Servio ou Grupo, digite April,

clique em Verificar Nomes e clique em OK.
5.
Clique em Exibir acesso efetivo.
6.
Analise os resultados. O usurio no deve ter acesso a essa pasta.
7.
Clique em Incluir uma declarao do usurio.
8.
Na lista suspensa, clique em Departamento da Empresa.
9.
Na caixa de texto Valor, digite Research.
10. Clique em Exibir acesso efetivo. Agora o usurio deve ter acesso.
11. Feche todas as janelas abertas.
Resultados: Depois de concluir este exerccio, voc ter implementado novas polticas de recursos.

1.
2.
em Reverter.
3.
4.
Repita as etapas 2 e 3 para 24412B-LON-SVR1, 24412B-LON-CL1 e 24412B-LON-CL2.

Prtica recomendada:
Use polticas de acesso central em vez de configurar expresses condicionais em recursos.
Habilite as configuraes de Assistncia para Acesso Negado.
Sempre teste as alteraes feitas a regras e polticas de acesso central antes de implement-las.
Use classificaes de arquivos para atribuir propriedades a arquivos.

Problema comum
As declaraes no so preenchidas
com os valores apropriados.
Uma expresso condicional no permite o acesso.
Perguntas de reviso
Pergunta: O que uma declarao?
Pergunta: Qual a finalidade das polticas de acesso central?
Pergunta: O que a Assistncia para acesso negado?
Ferramentas
Ferramenta
Uso
Local
Centro Administrativo
do Active Directory
Administrao e criao de
declaraes, propriedades
de recursos, regras e polticas
Ferramentas administrativas
Console de Gerenciamento
de Poltica de Grupo (GPMC)
Gerenciamento da poltica
de grupo
Ferramentas administrativas
Editor de Gerenciamento
de Poltica de Grupo
Edio de GPOs (Objetos

de Poltica de Grupo)
GPMC
3-35
4-1
Mdulo 4
Implementao de implantaes distribudas dos Servios
de Domnio do Active Directory
Contedo:
Viso geral do mdulo
4-1
Lio 1: Viso geral de implantaes distribudas do AD DS
4-2
Lio 2: Implantao de um ambiente distribudo do AD DS
4-8
Lio 3: Configurao de relaes de confiana do AD DS
4-17
Laboratrio: Implementao de implantaes do AD DS distribudas
4-23
4-27
Viso geral do mdulo

Para a maioria das organizaes, a implantao de Servios de Domnio do Active Directory
(AD DS) pode ser o componente mais importante na infraestrutura de TI. Quando as organizaes
implantam o AD DS ou qualquer outro servio vinculado do Active Directoryno sistema operacional
Windows Server 2012, elas esto implantando um servio de autenticao e autorizao central
que fornece acesso SSO (logon nico) a muitos outros servios e aplicativos de rede na organizao.
O AD DS tambm habilita o gerenciamento baseado em poltica para contas de usurio e computador.
A maioria das organizaes implanta apenas um nico domnio AD DS. No entanto, algumas
organizaes tambm tm requisitos que significam que precisam usar uma implantao mais
complexa do AD DS, que pode incluir vrios domnios ou vrias florestas.
Este mdulo descrever os componentes principais de um ambiente AD DS complexo e como
instalar e configurar uma implantao complexa do AD DS.
Objetivos
Descrever os componentes de implantaes distribudas do AD DS.
Explicar como implantar uma implantao distribuda do AD DS.
Explicar como configurar relaes de confiana do AD DS.
4-2
Implementao de implantaes distribudas dos Servios de Domnio do Active Directory
Lio 1
Viso geral de implantaes distribudas do AD DS

Antes de comear a configurar uma implantao complexa do AD DS, importante conhecer
os componentes que compreendem a estrutura do AD DS e como eles interagem entre si para
ajudar a fornecer um ambiente de TI dimensionvel e seguro. A lio comea examinando os
vrios componentes do AD DS e depois analisa os motivos pelos quais uma organizao pode
optar por implantar uma ambiente complexo do AD DS.
Objetivos da lio
Descrever os componentes de um ambiente do AD DS.
Explicar como domnios AD DS e florestas formam limites para segurana e administrao.
Descrever as razes para ter mais de um domnio em um ambiente do AD DS.
Explicar as razes para ter mais de uma floresta em um ambiente do AD DS.
Explicar a importncia do DNS (Sistema de Nomes de Domnio) em uma estrutura complexa

do AD DS.
Discusso: Viso geral dos componentes do AD DS

Um ambiente do AD DS tem vrios componentes
e importante voc entender a finalidade de cada
componente e como eles interagem entre si.
Pergunta: O que um domnio AD DS?
Pergunta: O que uma rvore do AD DS?
Pergunta: O que uma floresta do AD DS?
Pergunta: O que so relaes de confiana?
Pergunta: O que o catlogo global?
4-3
Viso geral dos limites de domnio e floresta em uma estrutura do AD DS

Os domnios e as florestas do AD DS fornecem
tipos diferentes de limites em uma implantao
do AD DS. Uma compreenso dos tipos diferentes
de limites essencial para gerenciar um ambiente
complexo do AD DS.
Limites de domnio do AD DS
O domnio do AD DS fornece os seguintes limites:
Limite de replicao para a partio

de domnio. Rodos os objetos do AD DS
que existem em um nico domnio so
armazenados na partio de domnio
no banco de dados do AD DS em cada controlador de domnio no domnio domnio. O processo
de replicao assegura que todas as atualizaes de origem sejam replicadas para todos os outros
controladores de domnio no mesmo domnio. Os dados na partio de domnio no so replicados
para outros controladores em outras florestas.
Limite de administrao. Por padro, um domnio AD DS inclui vrios grupos, como o grupo
Administradores de Domnio que tem controle administrativo total sobre o domnio. Voc tambm
pode atribuir permisses administrativas a contas de usurio e grupos dentro de domnios. Com
exceo do grupo Administradores de Empresa no domnio raiz da floresta, as contas administrativas
no tm nenhum direito administrativo em outros domnios na floresta ou em outras florestas.
Limite de aplicao de Poltica de Grupo. As Polticas de Grupo podem ser vinculadas nos seguintes
nveis: local, site, domnio e UO (unidade organizacional). Alm das Polticas de Grupo do nvel
de site, o escopo das Polticas de Grupo o domnio AD DS. No h nenhuma herana de Polticas
de Grupo de um domnio AD DS para outro, mesmo que um domnio AD DS seja inferior a outro
em uma rvore de domnio.
Limite de auditoria. A auditoria gerenciada centralmente com o uso de GPOs (Objetos de Poltica
de Grupo). O escopo mximo dessas configuraes o domnio AD DS. possvel ter as mesmas
configuraes de auditoria em domnios AD DS diferentes, mas eles devem ser gerenciados
separadamente em cada domnio.
Limites de poltica de senha e conta. Por padro, as polticas de senha e conta so definidas no
nvel de domnio e aplicadas a todas as contas de domnio. Embora seja possvel configurar polticas
de senha definidas para configurar polticas diferentes para usurios especficos em um domnio,
no possvel aplicar as polticas de conta e senha alm do escopo de um nico domnio.
Limite de replicao para zonas DNS de domnio. Uma das opes durante a configurao de zonas
DNS em um ambiente do AD DS configurar zonas integradas ao Active Directory. Isso significa
que, em vez dos registros de DNS serem armazenados localmente em cada Servidor DNS em
arquivos de texto, eles so armazenados e replicados no banco de dados do AD DS. Em seguida,
o administrador pode decidir se deseja replicar as informaes de DNS para todos os controladores
de domnio no domnio (quer eles sejam servidores DNS ou no), para todos os controladores de
domnio que forem servidores DNS no domnio ou para todos os controladores de domnio que
no sejam servidores DNS na floresta. Por padro, quando voc implanta o primeiro controlador
de domnio em um domnio AD DS e configura esse servidor como um servidor DNS, duas
parties de replicao separadas chamadas domainDnsZones e forestDnsZones so criadas.
A partio domainDnsZones contm os registros DNS especficos de domnio e replicada apenas
para outros servidores DNS que tambm so controladores de domnio do AD DS no domnio.
4-4
Limites de floresta do AD DS
A floresta do AD DS fornece os seguintes limites:
Limite de segurana. O limite de floresta um limite de segurana porque, por padro, nenhuma
conta fora da floresta tem qualquer permisso administrativa dentro da floresta.
Limite de replicao para a partio de esquema. A partio de esquema contm as regras e a sintaxe
para o banco de dados do AD DS. Ela replicada para todos os controladores de domnio na floresta
do AD DS.
Limite de replicao para a partio de configurao. A partio de configurao contm os

detalhes do layout de domnio do AD DS, incluindo: domnios, controladores de domnio, parceiros
de replicao, informaes de site e sub-rede e autorizao de protocolo DHCP ou a configurao
de Controle de Acesso Dinmico. A partio de configurao tambm contm informaes sobre
aplicativos que so integrados ao banco de dados do AD DS. Um exemplo de um desses aplicativos
o Exchange Server 2010. Essa partio replicada para todos os controladores de domnio na
floresta.
Limite de replicao para o catlogo global. O catlogo global a lista somente leitura que contm
todos os objetos na floresta inteira do AD DS. Para mant-la em um tamanho gerencivel, o catlogo
global contm apenas alguns atributos para cada objeto. O catlogo global replicado para todos
os controladores de domnio que tambm so servidores de catlogo global em toda a floresta.
Limite de replicao para zonas DNS de floresta. A partio forestDnsZones replicada para todos
os controladores de domnio que tambm so servidores DNS em toda a floresta. Essa zona contm
registros que so importantes para habilitar a resoluo de nomes DNS em toda a floresta.
Por que implementar vrios domnios?

Muitas organizaes podem funcionar
adequadamente com um nico domnio
do AD DS. Porm, algumas organizaes
tm requisitos que significam que elas
precisam implantar vrios domnios.
Esses requisitos podem incluir:
Requisitos de replicao de domnio.

Em alguns casos, as organizaes tm
vrios escritrios grandes que so conectados
por meio de redes de longa distncia (WANs)
lentas ou no confiveis. As conexes de rede
podem ter largura de banda suficiente para
oferecer suporte replicao do AD DS da partio de domnio. Nesse caso, talvez seja melhor
para instalar um domnio do AD DS separado em cada escritrio.
Requisitos de namespace DNS. Algumas organizaes tm um requisito para ter mais de um

namespace DNS em uma floresta do AD DS. Em geral, esse o caso quando uma empresa adquire
outra ou ocorre uma fuso com outra organizao e necessrio preservar os nomes de domnios
do ambiente existente. possvel fornecer vrios nomes UPN aos usurios em um nico domnio,
mas muitas organizaes optam por implantar vrios domnios nesse cenrio.
4-5
Requisitos de administrao distribuda. As organizaes podem ter requisitos de segurana

corporativa ou polticos para ter um modelo de administrao distribuda. As organizaes
podem obter autonomia administrativa implantando um domnio separado. Com essa
implantao, os administradores de domnio tm controle total sobre seus domnios.
Observao: A implantao de domnios separados fornece autonomia administrativa,

mas no isolamento administrativo. O nico modo de assegurar isolamento administrativo
implantar uma floresta separada.
Requisitos de segurana de grupo administrativo de floresta. Algumas organizaes podem optar

por implantar um domnio raiz dedicado ou vazio. Esse um domnio que no tem nenhuma conta
de usurio alm das contas de domnio raiz de floresta padro. O domnio raiz de floresta do AD DS
tem dois gruposos grupos Administradores de Esquema e Administradores de Empresaque no
existem em nenhum outro domnio da floresta do AD DS. Como esses grupos tm direitos de longo
alcance na floresta do AD DS, talvez voc queira restringir o uso desses grupos usando apenas
o domnio raiz da floresta do AD DS para armazen-los.
Requisitos de domnio de recurso. Algumas organizaes implantam domnios de recurso

para implantar aplicativos especficos. Com essa implantao, todas as contas de usurio
esto localizadas em um domnio, considerando que os servidores de aplicativos e as contas
de administrao de aplicativo so implantados em um domnio separado. Isso permite que os
administradores de aplicativo tenham permisses administrativas de domnio completo no domnio
de recurso sem habilitar nenhuma permisso no domnio que contm as contas de usurio normais.
Por que implementar vrias florestas?

s vezes, as organizaes podem requerer
que o design do AD DS contenha mais de
uma floresta. H vrias razes pelas quais
uma floresta do AD DS talvez no seja suficiente:
Requisitos de isolamento de segurana.

Se uma organizao exigir isolamento
administrativo entre duas de suas partes
diferentes, a organizao dever implantar
vrias florestas do AD DS. Florestas do AD DS
separadas so implantadas frequentemente
pelos contratantes de defesa do governo
e outras organizaes onde o isolamento
de segurana um requisito.
Esquemas incompatveis. Algumas organizaes talvez exijam vrias florestas, pois requerem
esquemas incompatveis ou processos de alterao de esquema incompatveis. O esquema
compartilhado entre todos os domnios em uma floresta.
4-6
Requisitos multinacionais. Alguns pases tm regulamentos rgidos relativos propriedade ou

ao gerenciamento de empresas dentro do pas. Ter uma floresta do AD DS separada pode fornecer
o isolamento administrativo necessrio pela legislao.
Requisitos de segurana de extranet. Algumas organizaes tm vrios servidores implantados em

uma rede de permetro. Esses servidores talvez precisem do AD DS para autenticar contas de usurio
ou podem usar o AD DS para impor polticas nos servidores na rede de permetro. Para assegurar
que o AD DS extranet seja to seguro quanto possvel, as organizaes configuram frequentemente
uma floresta do AD DS separada na rede de permetro.
Requisitos de fuso ou alienao de negcio. Um das razes mais comuns pelas quais as organizaes
tm vrias florestas do AD DS se deve s fuses comerciais. Quando as organizaes se fundem
ou uma organizao compra outra, elas precisam avaliar o requisito para mesclar as florestas
que o AD DS implantou em ambas as organizaes. A mesclagem das florestas do AD DS oferece
benefcios relacionados colaborao e administrao simplificadas. Porm, se os dois grupos
diferentes na organizao continuarem sendo gerenciados separadamente e se houver pouca
necessidade de colaborao, talvez a despesa de mesclar as duas florestas no valha a pena.
Em particular, se houver qualquer plano para vender uma parte da empresa, ser prefervel
reter as duas organizaes como florestas separadas.
Prtica recomendada: Como uma prtica recomendada, escolha o design mais simples
que atinja a meta exigida, pois ser menos caro de implementar e mais simples de administrar.
Requisitos de DNS para ambientes complexos do AD DS

O AD DS exige o DNS para funcionar
corretamente e a implementao do DNS
em um ambiente com vrios domnios ou vrias
florestas requer um nvel extra de planejamento.
Ao implantar uma estrutura de DNS para
oferecer suporte a um ambiente complexo
do AD DS, voc precisar abordar vrias
reas de configurao importantes:
Verifique a configurao de cliente DNS.

Configurar todos os computadores no
domnio AD DS com pelo menos dois
endereos de servidores DNS funcionais.
Todos os computadores devem ter conectividade de rede boa com servidores DNS.
Verifique e monitore a resoluo de nomes DNS. Verifique se todos os computadores, inclusive

controladores de domnio, podem executar pesquisas de DNS com xito para todos os controladores
de domnio na floresta. Os controladores de domnio precisam ser capazes de se conectar a outros
controladores de domnio para replicar as alteraes ao AD DS com xito. Os computadores cliente
precisam ser capazes de localizar controladores de domnio usando registros de recurso de servio
(SRV) e precisam ser capazes de resolver os nomes do controlador de domnio para endereos IP.
Em um ambiente com vrios domnios ou vrias florestas, os computadores cliente talvez precisem
localizar computadores de domnio em um domnio para validar confianas ao acessar recursos
em outro domnio.
4-7
Otimizar a resoluo de nomes DNS entre vrios namespaces. Quando as organizaes implantam
vrias rvores em uma floresta do AD DS, ou quando implantam vrias florestas, a resoluo de
nomes mais complicada porque voc precisa gerenciar vrios namespaces de domnio. Use recursos
de DNS como encaminhamento condicional, zonas de stub e delegao para otimizar o processo
de resolver nomes de computadores nos namespaces.
Usar zonas DNS integradas ao AD DS. Quando voc configura uma zona DNS como integrada ao
AD DS, as informaes de DNS so armazenadas no AD DS e replicadas pelo processo de replicao
normal do AD DS. Isso otimiza o processo de replicar alteraes em toda a floresta. Voc tambm
pode configurar o escopo de replicao para as zonas DNS. Por padro, registros de DNS especficos
de domnio sero replicados para outros controladores de domnio que tambm so servidores DNS
no domnio. Os registros DNS que habilitam pesquisas entre domnios so armazenados na zona
_msdcs.forestrootdomainname e so replicados para controladores de domnio que tambm
so servidores DNS em toda a floresta. Essa configurao padro no deve ser alterada.
4-8
Lio 2
Implantao de um ambiente distribudo do AD DS

Algumas organizaes precisam implantar vrios domnios ou at mesmo vrias florestas. A implantao
de controladores de domnio do AD DS nesse cenrio no muito mais complicada do que a implantao
de controladores de domnio em um nico ambiente de domnio, mas h alguns fatores especiais que
voc precisa considerar.
Nesta lio, voc saber como implantar um ambiente de complexo do AD DS e voc ver como atualizar
de uma verso anterior do AD DS.
Objetivos da lio
Explicar como instalar um controlador de domnio em um novo domnio em uma floresta.
Descrever nveis funcionais de domnio AD DS.
Descrever nveis funcionais de floresta do AD DS.
Explicar como atualizar uma verso anterior do AD DS para uma verso do Windows Server 2012.
Explicar como migrar para o AD DS do Windows Server 2012 de uma verso anterior.
Demonstrao: Instalao de um controlador de domnio em um novo

domnio em uma floresta
Configurar um controlador de domnio do AD DS.
Acessar o controlador de domnio do AD DS.
Configure LON-SVR1 como um controlador de domnio do AD DS
em atl.adatum.com
1.
Entre em LON-DC1 como Adatum\Administrador com a senha Pa$$w0rd.
2.
Em LON-DC1, no Gerenciador do Servidor, use o Assistente de Instalao do AD DS para instalar

o AD DS remotamente em LON-SVR1.
3.
Use o Assistente de Instalao do AD DS para instalar e configurar LON-SVR1 como um controlador

de domnio do AD DS em um novo domnio, atl.adatum.com.
Acesse LON-SVR1 como Adatum\Administrador

1.
Selecione opes para instalar o DNS e o catlogo global e defina a senha para a conta
de administrador do Modo de Restaurao dos Servios de Diretrio.
2.
Reinicie e entre como Adatum\Administrador com a senha Pa$$w0rd, no controlador

de domnio do AD DS recm-criado LON-SVR1.
Nveis funcionais de domnio AD DS

Os domnios AD DS podem ser executados
em nveis funcionais diferentes. Geralmente,
a atualizao do domnio para um nvel funcional
mais alto introduzir recursos adicionais. Alguns
dos nveis funcionais do domnio so listados
na tabela a seguir.
Nvel funcional do domnio

O Microsoft Windows 2000
Server nativo
Recursos
Grupos universais
Aninhamento de grupo
Histrico de SID (Identificador de segurana)
Instala os controladores de domnio a partir da mdia. Instalar
a partir da mdia permite a instalao de um controlador de
domnio do AD DS sem afetar a conexo de rede, porque a
maior parte do banco de dados do AD DS restaurada localmente
de um backup ntdsutil em uma unidade USB ou DVD. Aps a
instalao e reinicializao do novo controlador de domnio do
AD DS, ele usar a rede para recuperar atualizaes de origem
do AD DS que foram feitas desde a criao do backup ntdsutil.
Observao: Os controladores de domnio do
Windows Server 2012 no podem ser instalados em um
domnio em execuo no nvel nativo do Windows 2000 Server.
4-9
4-10 Implementao de implantaes distribudas dos Servios de Domnio do Active Directory
(continuao)
Windows Server 2003
Recursos
O atributo LastLogonTimestamp se lembra da hora do ltimo
logon de domnio para os usurios e replica essa informao para
outros controladores de domnio do AD DS no domnio AD DS.
A Delegao Restrita permite que os aplicativos aproveitem
a delegao segura de credenciais de usurio utilizando
a autenticao baseada em Kerberos.
A autenticao seletiva permite a voc especificar os usurios
e os grupos que podem ser autenticados para servidores
de recurso especficos em uma floresta de confiana.
Voc pode armazenar zonas DNS em parties de aplicativo, o que
permite que sejam replicadas nos controladores de domnio que
tambm so servidores DNS no domnio ou at mesmo na floresta.
Os atributos de grupo e outros atributos com vrios valores
so replicados no nvel de atributo, em vez do nvel de objeto.
Nas verses anteriores do AD DS, a associao de grupo era
considerada parte do objeto e o grupo seria replicado como
um nico objeto. Isso significava que se dois administradores
alterassem a associao do mesmo grupo no mesmo perodo
de replicao, a ltima gravao venceria. As primeiras alteraes
feitas seriam perdidas, pois a nova verso do grupo substituiria
a anterior completamente. Com replicao de mltiplos valores,
a associao de grupo tratada no nvel de atributo e, portanto,
todas as atualizaes de origem so mescladas em conjunto.
Isso tambm reduz grandemente o trfego de replicao que
ocorreria. Um benefcio adicional disso a remoo da restrio
de associao de grupo anterior que limitava o nmero mximo
de membros a 5.000.
Windows Server 2008
A Replicao de DFS (Sistema de Arquivos Distribudo) est

disponvel como um servio de replicao de arquivo mais
eficiente e robusto para pastas SYSVOL. A Replicao DFS
pode substituir o servio de replicao de arquivos NTFRS.
Uma quantidade grande de informaes de logon interativas
armazenada para cada usurio, em vez de apenas a ltima
hora de logon.
Configuraes de senha refinadas permitem a definio de
polticas de conta para os usurios e grupos, o que substitui
as configuraes de domnio padro para esses usurios
ou membros do grupo.
reas de trabalho virtual pessoais esto disponveis para
que os usurios se conectem usando RemoteApp e rea
de Trabalho Remota.
O suporte dos Servios Avanados de Criptografia (AES 128 e 256)
para o Kerberos est disponvel.
Os controladores de domnio somente leitura (RODCs) fornecem
um modo seguro e econmico de oferecer servios de logon
do AD DS em sites remotos, sem armazenar informaes
confidenciais (como senhas) em ambientes no confiveis.
O Grupo e outros atributos de mltiplos valores so replicados
em um nvel por valor, em vez de serem replicado em conjunto
(o que removeu o limite de 5.000 usurios por grupo).
4-11
(continuao)
Windows Server 2008 R2
Recursos
A garantia de mecanismo de autenticao, que empacota as
informaes sobre o mtodo de logon de um usurio, pode
ser usada em conjunto com a autenticao de aplicativo
por exemplo, com os Servios de Federao do Active Directory
(AD FS). Em outro exemplo, um usurio que efetua logon usando
um carto inteligente pode receber acesso para mais recursos
que quando entra com um nome de usurio e senha.
As contas de servio gerenciado permitem que as senhas de conta
sejam gerenciadas pelo sistema operacional Windows e fornecem
o gerenciamento de SPN (nome da entidade de servio).
Windows Server 2012
O nvel funcional de domnio do Windows Server 2012 no

implementa novos recursos do nvel funcional do Windows 2008 R2,
com uma exceo: Se o suporte do centro de distribuio de chaves
(KDC) para declaraes, autenticao composta e proteo Kerberos
estiver configurado para Sempre fornecer declaraes ou Falhar
solicitaes de autenticao desprotegidas, essas funcionalidades
no sero habilitadas at o domnio ser definido com o nvel
Windows Server 2012.
Observao: Geralmente, voc no pode reverter os nveis funcionais de domnio do

AD DS. Porm, no Windows Server 2012 e no Windows Server 2008 R2, voc pode reverter para
um mnimo de Windows Server 2008, desde que no tenha recursos opcionais (como a Lixeira)
habilitados. Se voc implementou um recurso que s est disponvel em um nvel funcional
do domnio mais alto, no poder reverter para um estado anterior.
Leitura adicional: Para saber mais sobre os nveis funcionais de domnio
do AD DS, consulte Noes bsicas sobre nveis funcionais do AD DS em
Nveis funcionais de floresta do AD DS

A floresta do AD DS pode ser executada em
nveis funcionais diferentes e, s vezes, aumentar
o nvel funcional da floresta do AD DS torna
mais recursos disponveis. Os recursos adicionais
mais notveis so fornecidos com a atualizao
para um nvel funcional da floresta do
Windows Server 2003. Os recursos adicionais
disponibilizados com o Windows Server 2003
incluem:
Relaes de confiana entre florestas.

As florestas do AD DS podem ter relaes
de confiana configuradas entre elas, o que
permite o compartilhamento de recursos. H relaes de confiana totais e seletivas.
Replicao de valores vinculados. Esse recurso melhorou a replicao do Windows 2000 Server
e aprimorou o modo como a associao de grupo era tratada.
Algoritmos de clculo de replicao do AD DS aprimorados. O Knowledge Consistency Checker (KCC)

e o gerador de topologia entre sites (ISTG) usam algoritmos aprimorados para acelerar o clculo da
infraestrutura de replicao do AD DS e fornecem clculos de link de site muito mais rpidos.
Suporte para RODCs. H suporte para RODCs no nvel funcional da floresta do Windows Server 2003.
O RODC deve estar executando o Windows Server 2008 ou mais recente.
Converso de objetos inetOrgPerson em objetos de usurio. Voc pode converter uma instncia
de um objeto inetOrgPerson, usado para compatibilidade com certos servios de diretrio no
Microsoft, em uma instncia de usurio de classe. Voc tambm pode converter um objeto de
usurio em um objeto inetOrgPerson.
Desativao e redefinio de atributos e classes de objetos. Embora voc no possa excluir

um atributo ou classe de objeto no esquema no nvel funcional do Windows Server 2003,
pode desativar ou redefinir os atributos ou as classes de objeto.
O nvel funcional da floresta do Windows Server 2008 no adiciona novos recursos em toda a floresta.
O nvel funcional da floresta do Windows Server 2008 R2 adiciona o recurso Lixeira do Active Directory.
Esse recurso permite a capacidade de restaurar objetos excludos do Active Directory.
Embora o nvel funcional de floresta do AD DS do Windows Server 2008 R2 tenha introduzido a Lixeira
do AD DS, ela tinha que ser gerenciada com o Windows PowerShell. No entanto, a verso de Ferramentas
de Administrao de Servidor Remoto (RSAT) fornecida com o Windows Server 2012 tem a capacidade
de gerenciar a Lixeira do AD DS usando ferramentas de GUI (interface grfica de usurio).
O nvel funcional da floresta do Windows Server 2012 no fornece nenhum recurso novo em toda
a floresta. Quando voc eleva o nvel funcional da floresta, limita possveis nveis funcionais do
domnio a domnios que adiciona floresta. Por exemplo, se voc elevar o nvel funcional de floresta
para Windows Server 2012, no poder adicionar um novo domnio executando o nvel funcional
de domnio do Windows Server 2008 R2.
Atualizao de uma verso anterior do AD DS para o Windows Server 2012

Para atualizar uma verso anterior de AD DS
para o AD DS do Windows Server 2012,
voc pode usar qualquer um dos dois
mtodos seguintes:
Atualizar o sistema operacional

nos controladores de domnio
existentes para Windows Server 2012.
Introduzir servidores do Windows Server 2012

como controladores de domnio no domnio
existente. Voc pode encerrar controladores
de domnio do AD DS que estejam
executando verses anteriores de AD DS.
4-13
Desses dois mtodos, o segundo preferencial, pois atualizar sistemas operacionaisespecialmente

em servidores que esto em execuo h anos frequentemente difcil. Ao instalar novos controladores
de domnio que executam o Windows Server 2012, voc ter uma instalao limpa do sistema operacional
Voc pode implantar servidores do Windows Server 2012 como servidores membros em um
domnio com controladores de domnio que executam o Windows Server 2003 ou verses
mais novas. Porm, antes de poder instalar o primeiro controlador de domnio executando
o Windows Server 2012, voc deve atualizar o esquema. Nas verses do AD DS anteriores ao
Windows Server 2012, voc executaria a ferramenta adprep.exe para executar as atualizaes
de esquema. Quando voc implanta novos controladores de domnio do Windows Server 2012
em um domnio existente, e se voc estiver conectado com uma conta que seja um membro dos
grupos Administradores de Esquema e Administradores de Empresa, o Assistente de Instalao de
Servios de Domnio do Active Directory atualizar o esquema de floresta do AD DS automaticamente.
Observao: O Windows Server 2012 ainda fornece uma verso de 64 bits de ADPrep,
para que voc possa executar Adprep.exe separadamente. Por exemplo, se o administrador
que est instalando o primeiro controlador de domnio do Windows Server 2012 no for um
membro do grupo Administradores de Empresa, talvez seja necessrio executar o comando
separadamente. Voc s ter que executar adprep.exe se estiver planejando uma atualizao
in-loco para o primeiro controlador de domnio do Windows Server 2012 no domnio.
O processo de atualizao
Para atualizar o sistema operacional de um controlador de domnio do Windows Server 2008
para o Windows Server 2012:
1.
Insira o disco de instalao do Windows Server 2012 e execute Setup.
2.
Aps a pgina de seleo de idioma, clique em Instalar agora.
3.
Aps a janela de seleo de sistema operacional e a pgina de aceitao da licena, na janela

Que tipo de instalao voc quer?, clique em Atualizao: Instalar o Windows e manter
arquivos, configuraes e aplicativos.
Com esse tipo de atualizao, o AD DS no controlador de domnio atualizado para o

Windows Server 2012 AD DS. Como prtica recomendada, voc deve verificar a compatibilidade
de hardware e software antes de executar uma atualizao. Aps a atualizao do sistema
operacional, lembre-se de atualizar seus drivers e outros servios (como monitorar os agentes)
e procure atualizaes para aplicativos Microsoft e software no Microsoft.
Observao: Voc pode atualizar diretamente do Windows Server 2008 e do
Windows Server 2008 R2 para o Windows Server 2012. Para atualizar servidores que estejam
executando uma verso do Windows Server mais antiga que o Windows Server 2008, voc deve
executar uma atualizao provisria para o Windows Server 2008 ou Windows Server 2008 R2
ou executar uma instalao limpa. Observe que os controladores de domnio do AD DS do
Windows Server 2012 podem coexistir como controladores de domnio no mesmo domnio
como controladores de domnio do Windows Server 2003 ou mais novo.
O processo instalao limpa

Para introduzir uma instalao limpa do Windows Server 2012 como um membro de domnio:
1.
Implante e configure uma nova instalao do Windows Server 2012 e inclua-a no domnio.
2.
Eleve o novo servidor para ser um controlador de domnio no domnio domnio usando
o Gerenciador do Servidor.
Migrao para o Windows Server 2012 AD DS de uma verso anterior

Como parte da implantao do AD DS, voc
pode optar por reestruturar seu ambiente
devido aos seguintes motivos:
Para otimizar a estrutura lgica do AD DS.

Em algumas organizaes, o negcio
pode ter mudado significativamente
desde que o AD DS foi implantado
pela primeira vez. Por isso, o domnio
ou a estrutura de floresta do AD DS talvez
j no atendam aos requisitos comerciais.
Para ajudar a concluir uma fuso comercial,

aquisio ou alienao.
A reestruturao envolve a migrao de recursos entre domnios do AD DS na mesma floresta ou em

florestas diferentes. No h nenhuma opo disponvel no AD DS para desanexar um domnio de uma
floresta e depois anex-lo a outra floresta. Voc pode renomear e reorganizar domnios dentro de uma
floresta sob algumas circunstncias, mas no h nenhum modo de mesclar domnios facilmente dentro
ou entre florestas. A nica opo para reestruturar um domnio desse modo mover todas as contas
e os recursos de um domnio para outro.
A Microsoft fornece a Ferramenta de Migrao do Active Directory (ADMT) para mover as contas de
usurio, grupo e computador de um domnio para outro e migrar os recursos de servidor. Se gerenciada
atentamente, a migrao pode ser concluda sem interromper o acesso do usurio aos recursos de que
ele precisa para fazer seu trabalho. A ADMT fornece uma GUI e uma interface de script e oferece suporte
s seguintes tarefas para concluir a migrao de domnio:
Migrao de conta de usurio
Migrao de conta de grupo
Migrao de conta de computador
Migrao de conta de servio
Migrao de confiana
Migrao de diretrio do Exchange Server
Converso de segurana em contas de computador migradas
Recursos de relatrio para exibir os resultados da migrao
Funcionalidade para desfazer e repetir a ltima migrao
4-15
Etapas de pr-migrao
Antes de executar a migrao, voc deve executar vrias tarefas para preparar os domnios de origem
e destino. Essas tarefas incluem:
Para computadores membros de domnio antes do Windows Vista Service Pack 1 (SP1)
ou Windows Server 2008 R2, configure um registro no controlador de domnio do AD DS
de destino para permitir algoritmos de criptografia que sejam compatveis com o sistema
operacional Microsoft Windows NT Server 4.0.
Habilite regras de firewalls nos controladores de domnio do AD DS de origem e destino para

permitir o compartilhamento de arquivos e impressora.
Prepare os domnios do AD DS de origem e destino para gerenciar o modo como os usurios,

os grupos e os perfis de usurios sero tratados.
Crie um plano de reverso.
Estabelea relaes de confiana que so necessrias para a migrao.
Configure os domnios do AD DS de origem e destino para habilitar a migrao de Histrico SID.
Especifique contas de servio para a migrao.
Execute uma migrao de teste e corrija qualquer erro relatado.
Reestruturao entre florestas com ADMT

Uma reestruturao entre florestas envolve mover recursos de domnios de origem que estejam
em florestas diferentes do domnio de destino. Para usar a ADMT para executar uma reestruturao
entre florestas, faa o seguinte:
1.
2.
Crie um plano de reestruturao. Um plano adequado essencial para xito do processo

de reestruturao. Conclua as seguintes etapas para criar seu plano de reestruturao:
a.
Determine o processo da migrao de conta.
b.
Atribua locais de objeto e mapeamento de local.
c.
Desenvolva um plano de teste.
d.
Crie um plano de reverso.
e.
Criar um plano de comunicao.
Prepare domnios de origem e destino. Voc deve preparar os domnios de origem e destino
para o processo de reestruturao executando as seguintes tarefas:
a.
Assegure a criptografia de 128 bits em todos os controladores de domnio.

O Windows Server 2000 Service Pack 3 (SP3) e as verses mais novas oferecem suporte
nativo criptografia de 128 bits. Para sistemas operacionais mais antigos, voc precisar
baixar e instalar um pacote de criptografia separado.
b.
Estabelea as relaes de confiana necessrias. Voc deve configurar pelo menos uma relao
de confiana unidirecional entre os domnios de origem e destino.
c.
Estabelea contas de migrao. A ADMT usa contas de migrao para migrar objetos entre
domnios de origem e destino. Verifique se essas contas tm permisses para mover e modificar
objetos nos domnios de origem e destino.
3.
4.
5.
d.
Determine se a ADMT tratar o Histrico SID automaticamente ou se voc configurar

os domnios de origem e destino manualmente.
e.
Assegure a configurao apropriada da estrutura de UO do domnio de destino. No se esquea

de configurar os direitos administrativos apropriados e a administrao delegada no domnio
de destino.
f.
Instale a ADMT no domnio de destino.
g.
Habilite a migrao de senha.
h.
Execute uma migrao de teste com um grupo de contas de teste pequeno.
Migre as contas. Execute as seguintes etapas para migrar contas:

a.
Faa a transio de contas de servio.
b.
Migre os grupos globais.
c.
Migre as contas. Migre as contas de usurio e computador em lotes para monitorar

o progresso da migrao. Se voc estiver migrando perfis locais como parte do processo,
migre os computadores afetados primeiro e depois as contas de usurio associadas.
Migre os recursos. Migre os recursos restantes no domnio executando as seguintes etapas:

a.
Migre as estaes de trabalho e os servidores membros.
b.
Migre os grupos locais de domnios.
c.
Migre os controladores de domnio.
Finalize a migrao. Finalize a migrao e execute a limpeza por meio das seguintes etapas:
a.
Transfira os processos de administrao para o domnio de destino.
b.
Assegure que pelo menos dois controladores de domnio operveis existam no domnio
de destino. Faa backup desses controladores de domnio.
c.
Encerre o domnio de origem.
O atributo Histrico SID

Durante a migrao, talvez voc tenha movido as contas de usurio e grupo para o novo domnio, mas
os recursos que os usurios precisam acessar ainda pode estar no domnio antigo. Quando voc migrar
uma conta de usurio, o AD DS atribuir um novo SID a ela. Como o recurso no domnio de origem
concede acesso com base no SID do usurio do domnio de origem, o usurio no pode utilizar
o novo SID para acessar o recurso, at que o recurso seja movido para o novo domnio.
Para resolver essa situao, voc pode configurar a ADMT para migrar o SID do domnio de origem
e depois armazen-lo em um atributo chamado Histrico SID. Quando o atributo Histrico-SID
preenchido, o SID anterior do usurio utilizado para conceder acesso aos recursos no domnio
de origem.
Leitura adicional:
Voc pode baixar a Ferramenta de Migrao do Active Directory verso 3.2

de http://go.microsoft.com/fwlink/?LinkId=270029.
Voc pode baixar o Guia da Ferramenta de Migrao do Active Directory

de http://go.microsoft.com/fwlink/?LinkId=270045.
4-17
Lio 3
Configurao de relaes de confiana do AD DS

As relaes de confiana do AD DS permitem o acesso aos recursos em um ambiente complexo
do AD DS. Quando voc implantar um nico domnio, poder conceder acesso aos recursos facilmente
no domnio aos usurios e grupos do domnio. Quando voc implementar vrios domnios ou florestas,
precisar assegurar que as relaes de confiana apropriadas estejam em vigor para permitir o mesmo
acesso aos recursos. Esta lio descreve como as relaes de confiana funcionam em um ambiente
do AD DS e como voc pode configur-las para satisfazer seus requisitos comerciais.
Objetivos da lio
Descrever os tipos de relaes de confiana que voc pode configurar em um ambiente

Explicar como as relaes de confiana funcionam em uma floresta do AD DS.
Explicar como as relaes de confiana funcionam entre as florestas do AD DS.
Descrever como configurar relaes de confiana avanadas.
Descrever como configurar uma confiana de floresta.
Viso geral de tipos de confiana diferentes do AD DS

Em uma floresta do AD DS de mltiplos domnios,
as relaes de confiana transitivas bidirecionais
so geradas automaticamente entre os domnios
do AD DS, de modo que h um caminho de
confiana entre todos os domnios do AD DS.
As relaes de confiana que so criadas
automaticamente na floresta so todas
transitivas. Isso significa que, se o domnio
A confia no domnio B e o B confia no C,
o A confia no domnio C.
H outros tipos de confiana que voc pode
implantar. A tabela a seguir descreve os tipos
de confiana principais.
Tipo de relao
de confiana
Transitividade
Direo
Descrio
Pai e filho
Transitiva
Bidirecional
Quando um novo domnio do AD DS

adicionado a uma rvore existente
do AD DS, novas relaes de confiana
de pai e confianas filho so criadas.
Raiz da rvore
Transitiva
Bidirecional
Quando uma nova rvore do AD DS rvore

criada em uma floresta do AD DS existente,
uma nova relao de confiana de raiz da
rvore criada.
(continuao)
Tipo de relao
de confiana
Transitividade
Direo
Descrio
Externo
No transitiva
Unidirecional
ou bidirecional
As relaes de confiana externas permitem

que o acesso ao recurso seja concedido
com um domnio do Windows NT 4.0 ou
um domnio do AD DS em outra floresta.
Elas tambm podem ser configuradas para
fornecer uma estrutura para uma migrao.
Realm
Transitiva ou
no transitiva
Unidirecional
ou bidirecional
As relaes de confiana de realm

estabelecem um caminho de autenticao
entre um domnio do Windows Server AD DS
e um realm Kerberos V5 implementado com
o uso de um servio de diretrio diferente
do AD DS.
Floresta
(Completa
ou Seletiva)
Transitiva
Unidirecional
ou bidirecional
As relaes de confiana entre florestas

do AD DS permitem que duas florestas
compartilhem recursos.
Atalho
No transitiva
Unidirecional
ou bidirecional
As relaes de confiana de atalho

aprimoram os tempos de autenticao
entre os domnios do AD DS que esto em
partes diferentes de uma floresta do AD DS.
Como relaes de confiana funcionam em uma floresta

Quando voc configura relaes de confiana
entre domnios dentro da mesma floresta,
entre florestas ou com um realm externo, as
informaes sobre essas relaes de confiana
so armazenadas no AD DS. Um objeto de
domnio confivel armazena essas informaes.
O objeto de domnio confivel armazena
informaes sobre a relao de confiana,
como a transitividade e o tipo. Sempre que
voc criar uma relao de confiana, um
novo objeto de domnio confivel ser criado
e armazenado no continer System no AD DS.
4-19
Como relaes de confiana permitem que usurios acessem recursos

em uma floresta
Quando o usurio no domnio confivel tenta acessar um recurso compartilhado em outro domnio
na floresta, seu computador primeiro contata o controlador de domnio em seu domnio para solicitar
um tquete de sesso para o recurso. Como o recurso no est no domnio do usurio, o controlador
de domnio precisa determinar se uma confiana existe com o domnio de destino. O controlador
de domnio pode usar o objeto de domnio de confiana para verificar se a confiana existe. Porm,
para acessar o recurso, o computador cliente deve se comunicar com um controlador de domnio
em cada domnio ao longo do caminho de confiana. O controlador de domnio no domnio domnio
do computador cliente encaminhar o computador cliente para um controlador de domnio no domnio
prximo domnio ao longo do caminho de confiana. Se esse no for o domnio no qual o recurso
est localizado, esse controlador de domnio encaminhar o computador cliente para um controlador
de domnio no domnio prximo domnio. Consequentemente, o computador cliente ser encaminhado
para um controlador de domnio no domnio domnio onde o recurso est localizado e um tquete
de sesso ser emitido para o cliente acessar o recurso.
O caminho da relao de confiana o caminho mais curto na hierarquia da relao de confiana.
Em uma floresta com apenas as relaes de confiana padro configuradas, o caminho de confiana
subir a rvore de domnio para o domnio raiz da floresta e depois descer essa rvore para o domnio
de destino. Se relaes de confiana de atalho forem configuradas, o caminho de confiana poder
ser um nico salto do domnio de computador cliente para o domnio que contm o recurso.
Como relaes de confiana funcionam entre florestas

Se o ambiente do AD DS contiver mais de
uma floresta, ser possvel configurar relaes
de confiana entre os domnios raiz da floresta
do AD DS. Essas relaes de confiana de floresta
podem ser qualquer confiana em toda a floresta
ou seletivas. As relaes de confiana de floresta
podem ser unidirecionais ou bidirecionais.
As relaes de confianas de floresta tambm
so transitivas para domnios em cada floresta.
Uma relao de confiana de floresta permite que
os usurios que so autenticados por um domnio
em uma floresta acessem recursos que esto em
um domnio na outra floresta, contanto que tenham recebido direitos de acesso. Se a relao de
confiana de floresta for unidirecional, os controladores de domnio na floresta de confiana podero
fornecer tquetes de sesso aos usurios em qualquer domnio na floresta confivel. As relaes de
confiana so significativamente mais fceis de estabelecer, manter e administrar do que as relaes
de confiana separadas entre cada um dos domnios nas florestas.
As relaes de confiana de floresta so particularmente teis em cenrios que envolvem colaborao

entre organizaes ou fuses e aquisies, ou dentro de uma nica organizao que tem mais de uma
floresta na qual isolar dados e servios do Active Directory. As relaes de confiana de floresta tambm
so teis para provedores de servios de aplicativo, para extranet comerciais colaborativas e para
empresas que buscam uma soluo para autonomia administrativa.
As relaes de confiana oferecem as seguintes vantagens:
Gerenciamento simplificado de recursos em duas florestas do Windows Server 2008 (ou verses mais
novas) reduzindo o nmero de relaes de confiana externas necessrio para compartilhar recursos.
Relaes de confiana bidirecionais completas com todos os domnios em cada floresta.
Uso da autenticao UPN em duas florestas.
Uso do protocolo Kerberos V5 para melhorar a confiabilidade dos dados de autorizao transferidos
entre florestas.
Flexibilidade de administrao. As tarefas administrativas podem ser exclusivas a cada floresta.
Voc s pode criar uma confiana de floresta entre duas florestas do AD DS e no pode estender
a confiana implicitamente para uma terceira floresta. Isso significa que, se voc criar uma relao
de confiana de floresta entre a Floresta 1 e a Floresta 2, e criar uma relao de confiana entre a
Floresta 2 e a Floresta 3, a Floresta 1 no ter uma relao de confiana implcita com a Floresta 3.
As relaes de confiana no so transitivas entre vrias florestas.
Voc deve abordar vrios requisitos antes de poder implementar uma relao de confiana, inclusive
o nvel funcional da floresta deve ser Windows Server 2003 ou mais novo e voc deve ter a resoluo
de nomes DNS entre as florestas.
Definio das configuraes de confiana avanadas do AD DS

Em alguns casos, as relaes de confiana
podem representar riscos segurana. Alm
disso, se voc no configurar uma relao
de confiana corretamente, os usurios que
pertencem a outro domnio podero obter
acesso indesejvel a alguns recursos. H vrias
tecnologias que voc pode usar para ajudar
a controlar e gerenciar a segurana em uma
relao de confiana.
4-21
Filtragem de SID
Por padro, quando voc estabelece uma relao de confiana de floresta ou domnio, habilita uma
quarentena de domnio que tambm conhecida como filtragem de SID. Quando um usurio se
autentica em um domnio confivel, o usurio apresenta dados de autorizao que incluem os SIDs
de todos os grupos aos quais o usurio pertence. Alm disso, os dados de autorizao do usurio
incluem SIDs de outros atributos do usurio e dos grupos do usurio.
O AD DS define a filtragem de SID por padro para impedir que os usurios que tm acesso ao nvel
do domnio ou de administrador da empresa em uma floresta ou domnio confivel concedam (a eles
mesmos ou a outras contas de usurio na floresta ou domnio) direitos de usurio elevados para uma
floresta ou domnio de confiana. A filtragem de SID impede o uso incorreto dos atributos que contm
SIDs em entidades de segurana na floresta ou domnio confivel.
Um exemplo comum de um atributo que contm um SID o atributo Histrico SID (SIDHistory) em
um objeto de conta de usurio. Os administradores de domnio geralmente usam o atributo Histrico
SID para migrar as contas de usurio e grupo que so mantidas por uma entidade de segurana de
um domnio para outro.
Em um cenrio de domnio confivel, possvel que um administrador possa usar credenciais
administrativas no domnio confivel para carregar os SIDs que so iguais aos SIDs de contas privilegiadas
em seu domnio no atributo SIDHistory de um usurio. Esse usurio ter nveis inadequados de acesso
aos recursos no seu domnio. A filtragem de SID impede isso permitindo que o domnio de confiana
filtre SIDs do domnio confivel que no so os SIDs primrios de entidades de segurana. Cada SID
inclui o SID do domnio de origem, portanto, quando um usurio de um domnio confivel apresenta
a lista de SIDs do usurio e os SIDs de grupos de usurios, a filtragem de SID instrui o domnio de
confiana a descartar todos os SIDs sem o SID de domnio do domnio confivel. A filtragem de SID
habilitada por padro para todas as relaes de confiana de sada para domnios e florestas externos.
Autenticao seletiva
Quando voc cria uma relao de confiana externa ou de floresta, pode gerenciar o escopo
de autenticao de entidades de segurana confiveis. H dois modos de autenticao para
uma relao de confiana externa ou de floresta:
A autenticao em todo o domnio (para uma confiana externa) ou a autenticao em toda

a floresta (para uma confiana de floresta)
Autenticao seletiva
Se voc escolher a autenticao em todo o domnio ou em toda a floresta, isso permitir que todos
os usurios confiveis se autentiquem nos servios e acesso em todos os computadores no domnio
de confiana. Assim, usurios confiveis podem receber permisso para acessar recursos em qualquer
lugar no domnio de confiana. Se voc usar esse modo de autenticao, todos os usurios de um
domnio ou floresta confivel sero considerados Usurios Autenticados no domnio de confiana. Assim,
se voc escolher autenticao em todo o domnio ou floresta, qualquer recurso que tenha permisses
concedidas a Usurios Autenticados ficar imediatamente acessvel aos usurios de domnio confivel.
Porm, se voc escolher autenticao seletiva, todos os usurios no domnio confivel sero identidades
confiveis. No entanto, eles s podem se autenticar para servios em computadores especificados por
voc. Por exemplo, imagine que voc tem uma relao de confiana externa com o domnio de uma
organizao de parceiro. Voc deseja assegurar que apenas os usurios da organizao de parceiro
do grupo de marketing possam acessar pastas compartilhadas em somente um de seu muitos servidores
de arquivos. Voc pode configurar a autenticao seletiva para a relao de confiana e depois atribuir
aos usurios confiveis o direito de autenticao apenas para esse servidor de arquivos.
Roteamento de sufixo de nome

O roteamento de sufixo de nome um mecanismo para gerenciar a forma como as solicitaes de
autenticao so roteadas entre as florestas que executam o Windows Server 2003 ou mais novo unidas
por relaes de confiana de floresta. Para simplificar a administrao das solicitaes de autenticao,
quando uma relao de confiana de floresta criada, todos os sufixos de nome exclusivos so roteados
pelo AD DS por padro. Um sufixo de nome exclusivo um sufixo de nome em uma florestacomo sufixo
UPN, sufixo SPN ou floresta DNS ou nome de rvore de domnioque no est subordinado a nenhum
outro sufixo de nome. Por exemplo, o nome de floresta DNS fabrikam.com um sufixo de nome exclusivo
dentro da floresta fabrikam.com.
O AD DS roteia todos os nomes subordinados a sufixos de nome exclusivo implicitamente. Por exemplo,
se sua floresta usa fabrikam.com como um sufixo de nome exclusivo, as solicitaes de autenticao para
todos os domnios filho de fabrikam.com (childdomain.fabrikam.com) so roteadas, pois os domnios filho
fazem parte do sufixo de nome fabrikam.com. Nomes filho aparecem no snap-in Domnios e Relaes
de Confiana do Active Directory. Se voc quiser excluir os membros de um domnio filho da autenticao
na floresta especificada, poder desabilitar o roteamento de sufixo de nome para esse nome. Voc
tambm pode desabilitar roteamento para o prprio nome da floresta.
Demonstrao: Configurao de uma relao de confiana de floresta

Configurar a resoluo de nomes DNS usando um encaminhador condicional.
Configurar uma relao de confiana de floresta seletiva bidirecional.
Configurar a resoluo de nomes DNS usando um encaminhador condicional
Configure a resoluo de nomes DNS entre adatum.com e treyresearch.net criando um

encaminhador condicional de forma que LON-DC1 tenha uma referncia para MUN-DC1
como o servidor DNS para o domnio DNS treyresearch.net.
Configurar uma relao de confiana de floresta seletiva bidirecional
Em LON-DC1, em Domnios e Relaes de Confiana do Active Directory, crie uma relao

de confiana de floresta seletiva bidirecional entre adatum.com e treyresearch.net,
fornecendo as credenciais da conta de Administrador do domnio treyresearch.net.
4-23
Laboratrio: Implementao de implantaes

do AD DS distribudas
Cenrio
A A. Datum Corporation implantou um nico domnio do AD DS com todos os controladores de domnio
localizados no data center de Londres. Como a empresa cresceu e adicionou filiais com grandes nmeros
de usurios, cada vez mais evidente que o ambiente do AD DS atual no est atendendo aos requisitos
da empresa. A equipe de rede est preocupada com a quantidade de trfego de rede relacionado
ao AD DS que est passando pelos links de WAN, que esto se tornando altamente utilizados.
A empresa tambm est cada vez mais integrada com organizaes de parceiro, alguns dos quais
precisam de acesso a recursos e aplicativos compartilhados que esto localizados na rede interna
da A. Datum. O departamento de segurana na A. Datum deseja assegurar que o acesso para esses
usurios externos seja o mais seguro possvel.
Como um dos administradores de rede seniores na A. Datum, voc responsvel por implementar
uma infraestrutura do AD DS que atenda aos requisitos da empresa. Voc responsvel por planejar
uma implantao de domnio e floresta do AD DS que fornecer timos servios para usurios
internos e externos, ao mesmo tempo em que resolve os requisitos de segurana da A. Datum.
Objetivos
Implementar domnios filho no AD DS.
Implementar relaes de confiana de floresta no AD DS.
Mquinas virtuais
24412B-LON-DC1
24412B-TOR-DC1
24412B-LON-SVR1
24412B-MUN-DC1
Nome de Usurio
Senha
Pa$$w0rd
1.

2.
3.
4.

o
Senha: Pa$$w0rd
5.
Repita as etapas 2 a 4 para 24412B-LON-SVR1 e 24412B-TOR-DC1.
6.
Inicie 24412B-MUN-DC1 e entre como Treyresearch\Administrador com a senha Pa$$w0rd.
Exerccio 1: Implementao de domnios filho no AD DS

Cenrio
A A. Datum decidiu implantar um novo domnio na floresta de adatum.com para a regio da
Amrica do Norte. O primeiro controlador de domnio ser implantado em Toronto e o nome
de domnio ser na.adatum.com. Voc precisa configurar e instalar o novo controlador de domnio.
1.
Configurao do DNS (Sistema de Nomes de Domnio) para a delegao de domnio.
2.
Instalar um controlador de domnio em um domnio filho.
3.
Verificar a configurao de confiana padro.
Tarefa 1: Configurao do DNS (Sistema de Nomes de Domnio) para a delegao

de domnio
No LON-DC1, abra o Gerenciador DNS e configure um registro de zona delegada para

na.adatum.com. Especifique TOR-DC1 como o servidor DNS com autoridade.
Tarefa 2: Instalar um controlador de domnio em um domnio filho

1.
Em TOR-DC1, use o Gerenciador do Servidor para instalar o AD DS.
2.
Aps a instalao dos binrios do AD DS, use o Adicionar recursos que so necessrios
para servios de Domnio Active Directory? para instalar e configurar TOR-DC1 como um
controlador de domnio do AD DS para um novo domnio filho chamado na.adatum.com.
3.
Quando solicitado, use Pa$$w0rd como senha do Modo de Restaurao dos Servios
de Diretrio (DSRM).
Tarefa 3: Verificar a configurao de confiana padro

1.
Entre em TOR-DC1 como NA\Administrador usando a senha Pa$$w0rd.
2.
Quando o Gerenciador do Servidor for aberto, clique em Servidor Local. Verifique se Firewall
do Windows mostra Domnio: Ativado. Se no mostrar, ao lado de Conexo Local, clique em
172.16.0.25, IPv6 habilitado. Clique com o boto direito do mouse do mouse em Conexo Local
e clique em Desativar. Clique com o boto direito do mouse do mouse em Conexo Local e clique
em Ativer. Agora, a Conexo Local deve mostrar Adatum.com.
3.
No Gerenciador do Servidor, inicie o console de gerenciamento de Domnios e Relaes

de confiana do Active Directory e verifique as relaes de confiana pai-filho.
Observao: Se voc receber uma mensagem informando que a relao de confiana no pode ser
validada ou que a verificao de canal de segurana (SC) falhou, assegure que voc concluiu a etapa 2
e aguarde pelo menos 10 a 15 minutos. Voc pode continuar com o laboratrio e voltar depois para
verificar essa etapa.
Resultados: Aps a concluso deste exerccio, voc ter implementado domnios filho no AD DS.
4-25
Exerccio 2: Implementao de relaes de confiana entre florestas

Cenrio
A A. Datum est trabalhando em vrios projetos de alta prioridade com uma organizao de parceiro
chamada Trey Research. Para simplificar o processo de habilitar o acesso aos recursos localizado nas
duas organizaes, eles implantaram uma WAN dedicada entre Londres e Munique, onde a Trey Research
est localizada. Voc precisa implementar e validar uma relao de confiana de floresta entre as
duas florestas agora e configurar essa relao de confiana para permitir acesso apenas a servidores
selecionados em Londres.
1.
Configurar zonas de stub para resoluo de nomes DNS.
2.
Configurar uma relao de confiana de floresta com autenticao seletiva.
3.
Configurar um servidor para autenticao seletiva.
Tarefa 1: Configurar zonas de stub para resoluo de nomes DNS

1.
Entre em LON-DC1 como Adatum\Administrador com a senha Pa$$w0rd.
2.
Usando o console de gerenciamento do DNS, configure uma zona de stub DNS para treyresearch.net.
3.
Use 172.16.10.10 como o servidor DNS Mestre.
4.
Feche o Gerenciador DNS.
5.
Entre em MUN-DC1 como TreyResearch\Administrador com a senha Pa$$w0rd.
6.
Usando o console de gerenciamento do DNS, configure uma zona de stub DNS para adatum.com.
7.
Use 172.16.0.10 como o servidor DNS Mestre.
8.
Feche o Gerenciador DNS.
Tarefa 2: Configurar uma relao de confiana de floresta com autenticao seletiva

1.
Em LON-DC1, crie uma relao de confiana de sada unidirecional entre a floresta do

AD DS treyresearch.net e a floresta adatum.com. Configure a relao de confiana para
usar a Autenticao seletiva.
2.
Em LON-DC1, confirme e valide a relao de confiana de treyresearch.net.
3.
Feche Domnios e relaes de confiana do Active Directory.
Tarefa 3: Configurar um servidor para autenticao seletiva

1.
Em LON-DC1, no Gerenciador do Servidor, abra Usurios e Computadores do Active Directory.
2.
Em LON-SVR1, configure os membros do grupo IT (TREYRESEARCH\IT) com a permisso

Permitido autenticar. Se suas credenciais forem solicitadas, digite Treyresearch\administrador
com a senha Pa$$w0rd.
3.
Em LON-SVR1, crie uma pasta compartilhada chamada IT-Data, e conceda acesso de Leitura
e gravao aos membros do grupo treyresearch\it. Se suas credenciais forem solicitadas, digite
Treyresearch\administrador com a senha Pa$$w0rd.
4.
Saia de MUN-DC1.
5.
Entre em MUN-DC1 como treyresearch\alice com a senha Pa$$w0rd e verifique se voc tem
acesso pasta compartilhada em LON-SVR1.
Resultados: Depois de concluir este exerccio, voc ter implementado relaes de confiana de floresta.

estas etapas.
1.
2.
em Reverter.
3.
4.
Repita as etapas 2 e 3 para 24412B-TOR-DC1, 24412B-MUN-DC1 e 24412B-LON-SVR1.

Problema comum
Voc recebe mensagens de erro como: falha
de pesquisa de DNS, servidor RPC no disponvel,
o domnio no existe, no foi possvel encontrar
o controlador de domnio.
O usurio no pode ser autenticado para acessar

recursos em outro domnio do AD DS ou realm
Kerberos.
4-27
5-1
Mdulo 5
Implementao de sites e da replicao dos Servios
de Domnio do Active Directory
Contedo:
Viso geral do mdulo
5-1
Lio 1: Viso geral da replicao do AD DS
5-2
Lio 2: Configurao de sites do AD DS
5-11
Lio 3: Configurao e monitoramento da replicao do AD DS
5-20
Laboratrio: Implementao de sites e replicao do AD DS
5-28
5-33
Viso geral do mdulo

Quando voc implanta o AD DS (Servios de Domnio do Active Directory), importante fornecer
uma infraestrutura de logon eficiente e um servio de diretrio altamente disponvel. A implementao
de vrios controladores de domnio na infraestrutura ajuda a atender a esses dois objetivos. Porm,
voc deve assegurar que o AD DS replique informaes do Active Directory entre cada controlador de
domnio na floresta. Neste mdulo, voc saber como o AD DS replica informaes entre controladores
de domnio dentro de um nico site e entre vrios sites. Voc tambm saber como criar vrios sites
e monitorar a replicao para ajudar a otimizar o trfego de autenticao e replicao do AD DS.
Objetivos
Descrever como funciona a replicao do AD DS.
Configurar sites do AD DS para ajudar a otimizar o trfego de autenticao e replicao.
Configurar e monitorar a replicao do AD DS.
5-2
Implementao de sites e da replicao dos Servios de Domnio do Active Directory
Lio 1
Viso geral da replicao do AD DS

Dentro de uma infraestrutura AD DS, os controladores de domnio padro replicam informaes do
Active Directory usando um modelo de replicao de vrios mestres. Isso significa que, se for feita uma
alterao em um controlador de domnio, essa alterao ser replicada em todos os outros controladores
do domnio, e provavelmente em todos os controladores de domnio da floresta inteira. Esta lio fornece
uma viso geral de como o AD DS replica informaes entre controladores de domnio padro e somente
leitura (RODCs).
Objetivos da lio
Descrever as parties do AD DS.
Descrever as caractersticas da replicao do AD DS.
Descrever o processo de replicao dentro de um nico site.
Descrever como o AD DS resolve conflitos de replicao.
Descrever como voc gera a topologia de replicao.
Descrever como funciona a replicao de controladores de domnio somente leitura.
Descrever a replicao SYSVOL.
O que so parties do AD DS?

O repositrio de dados do Active Directory
contm informaes que o AD DS distribui
a todos os controladores de domnio na
infraestrutura da floresta. A maior parte
das informaes que o repositrio de dados
contm distribuda dentro de um nico
domnio. Entretanto, algumas informaes
podem estar relacionadas floresta inteira,
independentemente dos limites do domnio,
e replicadas nela.
5-3
Para ajudar a fornecer eficincia e escalabilidade de replicao entre controladores de domnio, os dados
do Active Directory so separados logicamente em vrias parties. Cada partio uma unidade de
replicao, e cada uma delas tem sua prpria topologia de replicao. As parties padro incluem as
seguintes:
Partio de configurao. A partio de configurao criada automaticamente quando voc cria o

primeiro domnio de uma floresta. A partio de configurao contm informaes sobre a estrutura
do AD DS na floresta, inclusive quais domnios e sites existem e quais controladores de domnio
existem em cada domnio. A partio de configurao tambm armazena informaes sobre servios
de toda a floresta, como autorizao do protocolo DHCP e modelos de certificados. Essa partio
replicada em todos os controladores de domnio da floresta.
Partio de esquema. Contm definies de todos os objetos e atributos que voc pode criar no
repositrio de dados, alm das regras para cri-los e manipul-los. As informaes de esquema
so replicadas em todos os controladores de domnio da floresta. Portanto, todos os objetos devem
estar em conformidade com as regras de definio de atributos e objetos de esquema. O AD DS
contm um conjunto padro de classes e atributos que voc no pode modificar. Porm, se voc
tiver credenciais de Administradores de Esquema, poder estender o esquema adicionando novos
atributos e classes para representar classes especficas ao aplicativo. Muitos aplicativos, como o
Microsoft Exchange Server e o Microsoft System Center Configuration Manager, podem estender
o esquema para oferecer aprimoramentos de configurao especficos ao aplicativo. Essas alteraes
se destinam ao controlador de domnio que contm a funo de mestre de esquema da floresta.
Somente o mestre de esquema est autorizado a fazer acrscimos a classes e atributos.
Partio de domnio. Quando voc cria um novo domnio, o AD DS automaticamente cria e replica
uma instncia da partio de domnio em todos os controladores no domnio. A partio de domnio
contm informaes sobre todos os objetos especficos ao domnio, incluindo usurios, grupos,
computadores, UOs (unidades organizacionais) e configuraes do sistema relacionadas ao domnio.
Todos os objetos em cada partio de domnio em uma floresta so armazenados no catlogo global,
com apenas um subconjunto de seus valores de atributo.
Partio de aplicativo. A partio de aplicativo armazena as informaes relacionadas ao aplicativo

e no ao domnio que podem ter tendncia a serem atualizadas com frequncia ou ter uma vida
til especificada. Um aplicativo normalmente programado para determinar como armazena,
categoriza e usa informaes especficas ao aplicativo que so armazenadas no banco de dados
do Active Directory. Para evitar a replicao desnecessria de uma partio de aplicativo, voc
pode determinar quais controladores de domnio em uma floresta hospedaro a partio do
aplicativo especfico. Ao contrrio de uma partio de domnio, uma partio de aplicativo no
armazena objetos de entidades de segurana, como contas de usurio. Alm disso, o catlogo
global no armazena dados contidos em parties de aplicativo.
Observao: Voc pode usar o Editor do Active Directory Service Interfaces (Editor ADSI)
para se conectar e exibir as parties.
5-4
Caractersticas da replicao do AD DS
Um design de replicao do AD DS eficiente
assegura que cada partio em um controlador
de domnio esteja consistente com as rplicas
dessa partio que so hospedadas em outros
controladores de domnio. Em geral, nem todos
os controladores de domnio tm exatamente
as mesmas informaes em suas rplicas no
mesmo momento, j que ocorrem alteraes
constantes na direo. Porm, a replicao do
Active Directory assegura que todas as alteraes
em uma partio sejam transferidas para todas
as rplicas da partio. A replicao do Active
Directory equilibra preciso (ou integridade) e consistncia (chamada de convergncia) com desempenho,
mantendo o trfego de replicao em um nvel razovel.
As principais caractersticas da replicao do Active Directory so:
Replicao de vrios mestres. Qualquer controlador de domnio, exceto RODCs, pode iniciar
e confirmar uma alterao no AD DS. Isso oferece tolerncia a falhas e elimina a dependncia
em um nico controlador de domnio para manter as operaes do repositrio do diretrio.
Replicao pulls. Um controlador de domnio solicita alteraes (ou efetua pulls) de outros
controladores de domnio. Embora um controlador de domnio possa notificar seus parceiros
de replicao de que ele tem alteraes no diretrio, ou sondar seus parceiros para ver se eles
tm alteraes no diretrio, no final, o controlador de domnio de destino solicita e efetua pull
das prprias alteraes.
Replicao do tipo armazenar e encaminhar. Um controlador de domnio pode efetuar pull das
alteraes de um parceiro e, em seguida, tornar essas alteraes disponveis para outro parceiro.
Por exemplo, o controlador de domnio B pode efetuar pull das alteraes iniciadas pelo controlador
de domnio A. Em seguida, o controlador de domnio C pode efetuar pull das alteraes do
controlador de domnio B. Isso ajuda a equilibrar a carga de replicao para domnios que
contm vrios controladores de domnio.
Particionamento do repositrio de dados. Os controladores de um domnio hospedam o contexto

de nomeao para seus domnios, o que ajuda a minimizar a replicao, principalmente em florestas
de vrios domnios. Os controladores de domnio tambm hospedam cpias de esquema e parties
de configurao, que so replicadas em toda a floresta. Entretanto, as alteraes em parties de
configurao e esquema muito menos frequente do que na partio de domnio. Por padro,
outros dados, incluindo parties do diretrio de aplicativos e o conjunto de atributos parcial
(catlogo global), no so replicados em cada controlador de domnio da floresta.
5-5
Gerao automtica de uma topologia de replicao eficiente e robusta. Por padro, o AD DS

configura uma topologia de replicao bidirecional eficiente, de forma que a perda de um
controlador de domnio no impede a replicao. O AD DS atualiza automaticamente essa topologia
medida que controladores de domnio so adicionados, removidos ou movidos entre sites.
Replicao em nvel de atributo. Quando um atributo de um objeto alterado, somente esse atributo
e metadados mnimos que descrevem o atributo so replicados. No replicado o objeto inteiro,
exceto na ocasio de sua criao inicial.
Controle distinto da replicao intra-site e da replicao entre sites. Voc pode controlar a replicao
dentro de um nico site e entre sites.
Deteco de coliso e gerenciamento. Em raras ocasies, voc pode modificar um atributo em dois
controladores de domnio diferentes durante uma nica janela de replicao. Se isso ocorrer, voc
dever reconciliar as duas alteraes. O AD DS tem algoritmos de resoluo que satisfazem quase
todos os cenrios.
Como funciona a replicao do AD DS dentro de um site

A replicao do AD DS dentro de um nico site,
que ocorre automaticamente, chamada de
replicao intra-site. Entretanto, voc tambm
pode configur-la para ocorrer manualmente,
conforme necessrio. Os seguintes conceitos
esto relacionados replicao intra-site:
Objetos de conexo
O Knowledge Consistency Checker
Notificao
Sondagem
Objetos de conexo
Um controlador de domnio que replica alteraes de outro controlador de domnio chamado de
parceiro de replicao. Os parceiros de replicao so vinculados por objetos de conexo. Um objeto
de conexo representa um caminho de replicao de um controlador de domnio para outro.
Os objetos de conexo so unidirecionais, representando a replicao pulls somente de entrada.
Para exibir e configurar objetos de conexo, abra Servios e Sites do Active Directory e selecione o
continer Configuraes de NTDS do objeto de servidor de um controlador de domnio. Voc pode
forar a replicao entre dois controladores de domnio clicando com o boto direito do mouse no
objeto de conexo e selecionando Replicar Agora. Observe que a replicao somente de entrada,
portanto, se voc desejar replicar ambos os controladores de domnio, precisar replicar o objeto
de conexo de entrada de cada controlador de domnio.
5-6
O Knowledge Consistency Checker

Os caminhos de replicao que so criados entre os controladores de domnio por objetos de
conexo criam a topologia de replicao da floresta. Voc no precisa criar a topologia de replicao
manualmente. Por padro, o AD DS cria uma topologia que assegura a replicao eficiente. A topologia
bidirecional, o que significa que, se qualquer controlador de domnio falhar, a replicao continuar
sem interrupo. A topologia tambm assegura que no haja mais de trs saltos entre dois controladores
de domnio.
Em cada controlador de domnio, um componente do AD DS chamado KCC (Knowledge Consistency
Checker) ajuda a gerar e otimizar a replicao automaticamente entre os controladores de domnio de
um site. O KCC avalia os controladores de domnio em um site e, em seguida, cria objetos de conexo
para criar a topologia bidirecional de trs saltos descrita anteriormente. Se voc adicionar ou remover um
controlador de domnio, ou se um controlador de domnio no estiver respondendo, o KCC reorganizar
a topologia dinamicamente, adicionando e excluindo objetos de conexo para recriar uma topologia
de replicao eficiente. O KCC executado em intervalos especificados (a cada 15 minutos, por padro)
e determina as rotas de replicao entre os controladores de domnio que so as conexes mais
favorveis disponveis no momento.
Voc pode criar objetos de conexo manualmente para especificar os caminhos de replicao que devem
persistir. Porm, em geral, criar um objeto de conexo manualmente no necessrio nem recomendado,
pois o KCC no verifica nem usa o objeto de conexo manual para failover. O KCC tambm no remover
objetos de conexo manuais, o que significa que voc deve se lembrar de excluir os objetos de conexo
que criar manualmente.
Notificao
Quando feita uma alterao em uma partio do Active Directory em um controlador de domnio,
este coloca a alterao na fila para replicao em seus parceiros. Por padro, o servidor de origem
espera 15 segundos para notificar seu primeiro parceiro de replicao da alterao. Notificao o
processo pelo qual um parceiro upstream informa seus parceiros downstream de que uma alterao est
disponvel. Por padro, o controlador de domnio de origem aguarda trs segundos entre as notificaes
a parceiros adicionais. Esses atrasos, chamados de atraso de notificao inicial e atraso de notificao
subsequente, foram projetados para coordenar o trfego de rede que a replicao intra-site pode gerar.
Ao receber a notificao, o parceiro downstream solicita as alteraes do controlador de domnio de
origem, e o agente de replicao de diretrio efetua pull das alteraes do controlador de domnio de
origem. Por exemplo, suponha que o controlador de domnio DC01 inicialize uma alterao no AD DS.
Quando o DC02 receber a alterao do DC01, ele far a alterao em seu diretrio. O DC02 colocar
ento a alterao na fila para replicao em seus prprios parceiros downstream.
Em seguida, suponha que o DC03 seja um parceiro de replicao downstream do DC02. Depois de
15 segundos, o DC02 notifica o DC03 de que tem uma alterao. O DC03 faz a alterao replicada em
seu diretrio e, em seguida, notifica seus parceiros downstream. A alterao faz dois saltos, de DC01
para DC02 e de DC02 para DC03. A topologia de replicao assegura que no ocorram mais de trs
saltos antes de todos os controladores de domnio do site receberem a alterao. Em aproximadamente
15 segundos por salto, a alterao replicada completamente no site dentro de um minuto.
5-7
Sondagem
s vezes, um controlador de domnio pode no fazer nenhuma alterao em suas rplicas durante
um tempo prolongado, particularmente durante as horas de menor movimento. Suponha que seja
esse o caso com o DC01. Isso significa que o DC02, seu parceiro de replicao downstream, no
receber notificaes do DC01. O DC01 tambm pode estar offline, o que o impediria de enviar
notificaes ao DC02.
importante o DC02 saber que seu parceiro upstream est online e simplesmente no tem nenhuma
alterao. Isso obtido por um processo chamado de sondagem. Durante a sondagem, o parceiro de
replicao downstream entra em contato com o parceiro de replicao upstream com consultas quanto
ao enfileiramento de alteraes para replicao. Por padro, o intervalo de sondagem para a replicao
intra-site uma vez por hora. Voc pode configurar a frequncia de sondagem nas propriedades de
um objeto de conexo clicando em Alterar Agendamento, embora isso no seja recomendado. Se um
parceiro upstream no responder a repetidas consultas de sondagem, o parceiro downstream iniciar
o KCC para verificar a topologia de replicao. Se o servidor upstream realmente estiver offline, o KCC
reorganizar a topologia de replicao do site para acomodar a alterao.
Resoluo de conflitos de replicao

Como o AD DS d suporte a um modelo de
replicao de vrios mestres, podem ocorrer
conflitos de replicao. Normalmente, h trs
tipos de conflitos de replicao que podem
ocorrer no AD DS:
Modificar simultaneamente o mesmo

valor de atributo do mesmo objeto
em dois controladores de domnio.
Adicionar ou modificar o mesmo objeto em

um controlador de domnio ao mesmo tempo
que o objeto continer do objeto excludo
em outro controlador de domnio.
Adicionar objetos com o mesmo nome diferenciado relativo no mesmo continer.
Para ajudar a minimizar conflitos, todos os controladores de domnio na floresta registram e replicam
alteraes de objetos no nvel de atributo em vez de no nvel de objeto. Portanto, as alteraes em dois
atributos diferentes de um objeto, como a senha e o CEP do usurio, no causar um conflito mesmo
que voc os altere ao mesmo tempo de locais diferentes.
Quando uma atualizao de origem aplicada a um controlador de domnio, criado um carimbo que
viaja com a atualizao enquanto replicado em outros controladores de domnio. O carimbo contm
os seguintes componentes:
Nmero de verso. O nmero de verso inicia em um para cada atributo de objeto e aumenta em
um para cada atualizao. Ao executar uma atualizao de origem, a verso do atributo atualizado
um nmero mais alto que a verso do atributo que est sendo substitudo.
Carimbo de data/hora. O carimbo de data/hora a data e hora de origem da atualizao,

de acordo com o relgio do sistema do controlador de domnio onde a alterao feita.
GUID (identificador global exclusivo) do servidor. O GUID do servidor identifica o controlador

de domnio que executou a atualizao de origem.
5-8
Conflitos comuns de replicao

A tabela a seguir descreve vrios conflitos, alm de como o AD DS resolve o problema.
Conflito
Soluo
Valor do atributo
Se o valor do nmero de verso for igual, mas o valor do atributo

for diferente, o carimbo de data/hora ser avaliado. A operao
de atualizao que tiver o valor de carimbo mais alto substituir
o valor de atributo da operao de atualizao pelo valor de
carimbo inferior.
Adicionar ou mover em
um objeto continer
excludo, ou a excluso
de um objeto continer
Depois que a resoluo ocorre em todas as rplicas, o AD DS exclui

o objeto continer, e o objeto folha torna-se um filho do continer
LostAndFound especial da pasta. No so envolvidos carimbos nesta
resoluo.
Adicionar objetos
com o mesmo nome
diferenciado relativo
O objeto com o carimbo maior mantm o nome diferenciado

relativo. O AD DS atribui ao objeto irmo um nome diferenciado
relativo exclusivo do controlador de domnio. A atribuio de nome
o nome diferenciado relativo + CNF: + um caractere reservado
(o asterisco) + o GUID do objeto. Essa atribuio de nome assegura
que o nome gerado no esteja em conflito com qualquer outro
nome do objeto.
Como a topologia de replicao gerada

A topologia de replicao a rota pela qual
os dados de replicao percorrem uma rede.
Para criar uma topologia de replicao, o AD DS
deve determinar quais controladores de domnio
replicam dados com outros controladores
de domnio. O AD DS cria uma topologia de
replicao baseada nas informaes que o AD DS
contm. Como cada partio do AD DS pode ser
replicada em controladores de domnio diferentes
em um site, a topologia de replicao pode diferir
em termos de esquema, configurao, domnio
e parties de aplicativo.
Como todos os controladores de domnio de uma mesma floresta compartilham parties de
esquema e configurao, o AD DS replica o esquema e as parties em todos os controladores de
domnio. Os controladores de domnio no mesmo domnio tambm replicam a partio de domnio.
Alm disso, os controladores de domnio que hospedam uma partio de aplicativo tambm replicam
a partio. Para otimizar o trfego da replicao, um controlador de domnio pode ter vrios parceiros
de replicao para parties diferentes. Em um nico site, a topologia de replicao ser tolerante
a falhas e redundante. Isso significa que, se o site contiver mais de dois controladores de domnio,
cada controlador ter pelo menos dois parceiros de replicao para cada partio do AD DS.
5-9
Como as parties de esquema e configurao so replicadas

A replicao das parties de esquema e configurao segue o mesmo processo que todas as outras
parties de diretrio. Entretanto, como essas parties so em nvel de floresta em vez de em nvel de
domnio, os objetos de conexo dessas parties podem existir entre quaisquer dois controladores de
domnio, independentemente do domnio do controlador. Alm disso, a topologia de replicao dessas
parties inclui todos os controladores de domnio da floresta.
Como o catlogo global afeta a replicao

A partio de configurao contm informaes sobre a topologia do site e outros dados globais de
todos os domnios que so os membros da floresta. O AD DS replica a partio de configurao em todos
os controladores de domnio por meio da replicao em toda a floresta. Cada servidor de catlogo global
obtm informaes do domnio procurando o controlador desse domnio e obtendo as informaes
sobre a rplica parcial. A partio de configurao tambm oferece aos controladores de domnio uma
lista dos servidores de catlogo global da floresta.
Os servidores de catlogo global armazenam registros do servio DNS na zona DNS que corresponde ao
domnio raiz da floresta. Esses registros, que so armazenados somente na zona DNS da raiz da floresta,
ajudam os clientes e os servidores a localizar servidores de catlogo global em toda a floresta para
oferecer servios de logon de clientes.
Como a replicao RODC funciona

Como mencionado anteriormente, os
controladores de domnio replicam dados
efetuando pull das alteraes de outros
controladores de domnio de origem. Um
RODC no permite que nenhuma alterao
no replicada seja gravada em seu banco de
dados, e nunca replica informaes em outros
controladores de domnio. Como as alteraes
nunca so gravadas em um RODC diretamente,
outros controladores de domnio no precisam
efetuar pull das alteraes de diretrio de um
RODC. Restringir os RODCs de originar alteraes
impede que provveis alteraes ou danos de um usurio ou aplicativo mal-intencionado sejam
replicados no restante da floresta.
Quando um usurio ou aplicativo tenta executar uma solicitao de gravao a um RODC, um das
seguintes aes geralmente ocorre:
O RODC encaminha a solicitao de gravao a um controlador de domnio gravvel, que depois

a replica no RODC. Exemplos desse tipo de solicitao incluem alteraes de senha, atualizaes de
SPN (nome de entidade de servio) e alteraes de atributos de membros do computador\domnio.
O RODC responde ao cliente e fornece uma indicao de um controlador de domnio gravvel.

O aplicativo pode ento se comunicar diretamente com um controlador de domnio gravvel.
As atualizaes de protocolo LDAP e registro DNS so exemplos de indicaes de RODC aceitveis.
A operao de gravao falha porque ela no indicada ou encaminhada a um controlador de

domnio gravvel. As gravaes de RPC (chamada de procedimento remoto) so um exemplo de
comunicao que pode ser proibida de fazer indicaes ou encaminhamentos a outro controlador
de domnio.
5-10 Implementao de sites e da replicao dos Servios de Domnio do Active Directory
Quando voc implementa um RODC, o KCC detecta que o controlador de domnio configurado com
uma rplica somente leitura de todas as parties de domnio aplicveis. Por isso, o KCC cria apenas
objetos de conexo unidirecionais de um ou mais controladores de domnio do Windows Server 2008
ou um sistema operacional Windows Server mais recente de origem para o RODC.
Para algumas tarefas, um RODC executa a replicao de entrada usando uma operao RSO (replicar
objeto nico). Isso iniciado sob solicitao fora da agenda de replicao padro. Essas tarefas incluem:
Alteraes de senha.
Atualizaes de DNS quando o RODC indica um cliente a um servidor DNS gravvel. O RODC tenta
efetuar pull das alteraes usando uma operao RSO. Isso ocorre apenas para zonas DNS integradas
ao Active Directory.
Atualizaes de vrios atributos de cliente que incluem nome do cliente, DnsHostName, OsName,
OsVersionInfo, tipos de criptografia com suporte e o atributo LastLogontimeStamp.
Como funciona a replicao SYSVOL

SYSVOL uma coleo de arquivos e pastas em
cada controlador de domnio que vinculada ao
local %SystemRoot%\SYSVOL. O SYSVOL contm
scripts de logon e objetos relacionados Poltica
de Grupo, como modelos de Poltica de Grupo.
O contedo da pasta SYSVOL replicado em
cada controlador de domnio no domnio
domnio usando a topologia de objeto
de conexo e a agenda criada pelo KCC.
Dependendo da verso do sistema operacional
do controlador de domnio, do nvel funcional
do domnio e do status de migrao do SYSVOL,
o FRS (servio de replicao de arquivos) ou a Replicao do DFS (sistema de arquivos distribudo)
replica alteraes do SYSVOL entre controladores de domnio. O FRS era usado principalmente
no Windows Server 2003 R2 e em estruturas de domnio mais antigas. O Servio de Replicao de
Arquivos tem limitaes de capacidade e desempenho, o que levou adoo da Replicao do DFS.
No Windows Server 2008 e em domnios mais recentes, voc pode usar a Replicao do DFS para replicar
o contedo de SYSVOL. A Replicao do DFS d suporte a agendamento de replicao e limitao da
largura de banda, e usa um algoritmo de compactao conhecido como RDC (Compactao Diferencial
Remota). Usando RDC, a Replicao do DFS replica somente as diferenas (ou alteraes dentro de
arquivos) entre os dois servidores, resultando em menor uso de largura de banda durante a replicao.
Observao: Voc pode usar a ferramenta dfsrmig.exe para migrar a replicao SYSVOL
do FRS para a Replicao do DFS. Para que a migrao seja bem-sucedida, o nvel funcional
do domnio deve ser pelo menos o Windows Server 2008.
5-11
Lio 2
Configurao de sites do AD DS
Dentro de um nico site, a replicao do AD DS ocorre automaticamente sem considerar a utilizao
de rede. Porm, algumas organizaes possuem vrios locais que so conectados por meio de conexes
WAN (rede de longa distncia). Se esse for o caso, voc deve assegurar que replicao do AD DS no
afete a utilizao de rede negativamente entre os locais. Voc tambm pode precisar localizar servios
de rede em um local especfico. Por exemplo, voc talvez queira que os usurios em uma filial se
autentiquem em um controlador de domnio localizado no escritrio local, e no por meio de uma
conexo WAN com um controlador de domnio localizado na matriz. Voc pode implementar sites
do AD DS para ajudar a gerenciar a largura de banda em conexes de rede lentas ou no confiveis,
e ajudar na localizao de servios para autenticao e muitos outros servios com reconhecimento
de site na rede.
Objetivos da lio
Descrever sites do AD DS.
Explicar por que as organizaes podem implementar sites adicionais.
Configurar sites do AD DS adicionais.
Descrever como funciona a replicao do AD DS entre sites.
Descrever o gerador de topologia entre sites.
Descrever como os registros de recursos de servio (SRV) so usados para localizar controladores
de domnio.
Descrever como computadores cliente localizam controladores de domnio.
O que so sites do AD DS?

Para a maioria dos administradores, um site
um local fsico, um escritrio ou uma cidade
tipicamente separada por uma conexo WAN.
Esses sites so conectados fisicamente por links
de rede que podem ser to bsicos quanto
conexes dial-up ou to sofisticados quanto
links de fibra. Juntos, os locais fsicos e os links
formam uma infraestrutura de rede fsica.
O AD DS representa a infraestrutura de rede fsica com objetos chamados sites. Os objetos de site do
AD DS so armazenados no continer Configurao (CN=Sites, CN=Configurao, DC =domnio raiz
da floresta) e so usados para a realizao de duas tarefas de gerenciamento de servio principais:
Gerenciar o trfego de replicao. Normalmente, h dois tipos de conexes de rede LAN dentro de
um ambiente corporativo: altamente conectada e menos altamente conectada. Conceitualmente,
uma alterao feita no AD DS deveria ser replicada imediatamente em outros controladores de
domnio dentro da rede altamente conectada na qual a alterao foi feita. Entretanto, voc poder
no querer que a alterao seja replicada imediatamente em outro site se tiver um link mais lento,
mais caro ou menos confivel. Em vez disso, voc pode desejar otimizar o desempenho, reduzir os
custos e gerenciar a largura de banda gerenciando a replicao por segmentos menos altamente
conectados de sua empresa. Um site do Active Directory representa uma parte altamente conectada
de sua empresa. Quando voc define um site, os controladores de domnio dentro do site replicam
as alteraes quase que instantaneamente. Entretanto, voc pode gerenciar e agendar a replicao
entre sites conforme necessrio.
Fornecer a localizao do servio. Os sites do Active Directory ajudam voc a localizar servios,
inclusive aqueles fornecidos por controladores de domnio. Durante o logon, os clientes Windows
so automaticamente direcionados para controladores de domnio em seus sites. Se os controladores
de domnio no estiverem disponveis em seus sites, eles sero direcionados para controladores de
domnio do site mais prximo que puder autenticar o cliente com eficincia. Muitos outros servios,
como os recursos do DFS replicados, tambm possuem reconhecimento de site para assegurar que
os usurios sejam direcionados para uma cpia local do recurso.
O que so objetos de sub-rede?

Os objetos de sub-rede identificam os endereos de rede que mapeiam computadores para sites do
AD DS. Uma sub-rede um segmento de uma rede TCP/IP qual um conjunto de endereos IP lgicos
est atribudo. Como todos os objetos de sub-rede so mapeados para a rede fsica, os sites tambm so.
Um site consiste em uma ou mais sub-redes. Por exemplo, se sua rede tiver trs sub-redes em Nova York
e duas em Londres, voc poder criar um site em Nova York e um em Londres, e adicionar as sub-redes
aos respectivos sites.
Observao: Ao criar sua configurao de site do AD DS, fundamental que voc mapeie
sub-redes IP para os sites corretamente. Da mesma forma, se a configurao de rede subjacente
mudar, voc dever assegurar que essas alteraes sejam atualizadas para refletir a sub-rede IP
atual no mapeamento de site. Os controladores de domnio usam as informaes de sub-rede IP
no AD DS para mapear computadores cliente e servidores para o site do AD DS correto. Se esse
mapeamento no for preciso, talvez as operaes do AD DS, como trfego de logon e aplicao
de Polticas de Grupo, ocorram por links WAN, e eles podem ser interrompidos.
Primeiro site padro

O AD DS cria um site padro quando voc instala o primeiro controlador de domnio de uma floresta.
Por padro, esse site chamado Default-First-Site-Name. Voc pode renomear esse site com um nome
mais descritivo. Quando voc instala o primeiro controlador de domnio da floresta, o AD DS o coloca
automaticamente no site padro. Se voc tiver um nico site, no ser necessrio configurar sub-redes
ou sites adicionais, pois todos os computadores sero cobertos pelo site padro Default-First-Site-Name.
Porm, os sites mltiplos precisam ter sub-redes associadas a eles conforme necessrio.
5-13
Por que implementar sites adicionais?

Todas as florestas do Active Directory incluem
pelo menos um site. Voc dever criar sites
adicionais quando:
Um link lento separar parte da rede.

Conforme foi mencionado anteriormente,
um site caracterizado por um local com
conectividade rpida, confivel e barata.
Se dois locais estiverem conectados por um
link lento, voc dever configurar cada local
como um site do AD DS separado. Um link
lento normalmente um que tem uma
conexo de menos de 512 quilobits
por segundo (Kbps).
Uma parte da rede tiver usurios suficientes para justificar a hospedagem de controladores de
domnio ou outros servios nesse local. As concentraes de usurios tambm podem influenciar
no design do seu site. Se um local de rede tiver um nmero suficiente de usurios, para os quais
a impossibilidade de autenticao seria problemtica, coloque um controlador de domnio no
domnio local para dar suporte autenticao dentro do local. Depois de colocar um controlador
de domnio ou outro servio distribudo em um local que dar suporte a esses usurios, voc
poder desejar gerenciar replicao do Active Directory no local ou localizar o uso do servio
configurando um site do Active Directory para representar o local.
Voc desejar controlar a localizao de servios. Estabelecendo sites do AD DS, voc pode assegurar
que os clientes usem os controladores de domnio que estiverem mais prximos para a autenticao,
o que reduz a latncia de autenticao e o trfego em conexes WAN. Na maioria dos cenrios,
cada site conter um controlador de domnio. Porm, voc poder configurar os sites para localizar
servios que no sejam de autenticao, como os servios do DFS, Windows BranchCache
e Exchange Server. Nesse caso, alguns sites poderiam ser configurados sem um controlador
de domnio presente no site.
Voc desejar controlar a replicao entre controladores de domnio. Poder haver cenrios em
que dois controladores de domnio bem-conectados estejam autorizados a se comunicar apenas
em determinadas horas do dia. A criao de sites permite que voc controle como e quando
a replicao ocorre entre os controladores de domnio.
Demonstrao: Configurao de sites do AD DS

Nesta demonstrao, voc ver como configurar sites do AD DS.
1.
No Gerenciador do Servidor, abra Servios e Sites do Active Directory.
2.
Renomeie o site Default-First-Site-Name como LondonHQ quando necessrio.
3.
Clique com o boto direito do mouse do mouse no n Sites e clique em Novo Site. Especifique
o nome Toronto e associe o novo site ao link de site padro.
4.
Crie sites adicionais, conforme necessrio.
5.
No painel de navegao, clique com o boto direito do mouse em Subnets e clique em

Nova Sub-rede.
6.
Fornea o prefixo 172.16.0.0/24 e associe o prefixo de IP a um objeto de site disponvel.
7.
Se necessrio, mova um controlador de domnio para o novo site.
Como funciona a replicao entre sites

As principais caractersticas da replicao em sites
so as seguintes:
As conexes de rede no site so confiveis,

baratas e tm largura de banda disponvel
suficiente.
O trfego de replicao no site no

compactado, pois um site presume
conexes de rede altamente confiveis e
rpidas. A no compactao do trfego
de rede ajuda a reduzir a carga de
processamento nos controladores de
domnio. Porm, o trfego descompactado
pode aumentar a largura de banda da rede.
Um processo de notificao de alterao inicia a replicao no site.
5-15
As principais caractersticas da replicao entre sites so as seguintes:
Os links de rede entre os sites tm largura de banda disponvel limitada, podem ter um custo
mais alto e talvez no sejam confiveis.
O trfego de replicao entre sites pode ser projetado para otimizar a largura de banda
compactando todo o trfego de replicao. Ele compactado em 10 a 15% de seu tamanho
original antes de ser transmitido. Apesar de a compactao otimizar a largura de banda de
rede, ela impe uma carga de processamento adicional nos controladores de domnio quando
compacta e descompacta os dados da replicao.
A replicao entre sites acontece automaticamente depois que voc define valores configurveis,
como uma agenda ou um intervalo de replicao. Voc pode agendar a replicao para horrios
mais baratos ou fora do pico. Por padro, as alteraes so replicadas entre os sites conforme uma
agenda definida, e no quando as alteraes ocorrem. A agenda determina quando a replicao
pode ocorrer. O intervalo especifica como os controladores de domnio verificam as alteraes
durante o tempo que a replicao pode ocorrer.
Notificaes de alterao entre sites do AD DS

Intencionalmente, as alteraes no AD DS so replicadas entre controladores de domnio em sites
diferentes de acordo com uma agenda de replicao definida, e no conforme as alteraes ocorrem,
como acontece com a replicao intra-site. Por isso, a latncia de replicao na floresta pode ser igual
soma das maiores latncias de replicao ao longo do caminho de replicao mais extenso de
qualquer partio de diretrio. Em alguns cenrios, isso pode ser ineficiente.
Para evitar a latncia na replicao, voc pode configurar notificaes de alterao em conexes
entre sites. Modificando o objeto de link de site, voc pode habilitar a notificao de alterao
entre sites para todas as conexes que ocorrem nesse link. Como o parceiro de replicao no
site notificado das alteraes, o intervalo de replicao entre sites efetivamente ignorado.
O controlador de domnio de origem notifica o controlador de domnio no domnio outro
site de que tem uma alterao, da mesma maneira que faz dentro de um nico site.
Para alteraes como bloqueios de conta ou alteraes semelhantes relacionadas segurana,
a replicao imediata essencial. Nessas situaes, usada a replicao urgente. Esta ignora o
atraso de notificao e processa as notificaes de alterao imediatamente. Isso afeta apenas
as notificaes de alterao. Se voc no tiver notificaes de alterao habilitadas entre sites,
replicao ainda respeitar o intervalo de replicao no link de site.
Observao: Quando a senha do usurio alterada, a replicao imediata iniciada
no mestre de operaes do emulador PDC (controlador de domnio primrio). Isso difere
da replicao urgente porque ocorre imediatamente, sem levar em conta o intervalo
de replicao entre sites.
O que o gerador de topologia entre sites?

Quando voc configura vrios sites, o KCC
em um controlador de domnio de cada site
designado como o ISTG (gerador de topologia
entre sites) do site. Existe apenas um ISTG por
site, independentemente de quantos domnios
ou outras parties de diretrio o site possui.
O ISTG responsvel por calcular a topologia
de replicao ideal do site.
Quando voc adiciona um novo site floresta,
o ISTG de cada site determina quais parties
de diretrio esto presentes no novo site. O ISTG
calcula ento quantos novos objetos de conexo
so necessrios replicar as informaes necessrias do novo site. Em algumas redes, voc talvez queira
especificar que somente determinados controladores de domnio sejam responsveis pela replicao
entre sites. Voc pode fazer isso especificando servidores bridgehead. Os servidores bridgehead so
responsveis por toda a replicao que entra e sai do site. O ISTG cria o acordo de conexo necessrio
em seu diretrio, e essas informaes so replicadas no servidor bridgehead, que ento cria uma conexo
de replicao com o servidor bridgehead no site remoto, e a replicao iniciada. Se um parceiro de
replicao se tornar indisponvel, o ITSG selecionar outro controlador de domnio automaticamente,
se possvel. Se forem atribudos servidores bridgehead manualmente, e se eles ficarem indisponveis,
o ISTG no selecionar outros servidores automaticamente.
O ISTG seleciona servidores bridgehead automaticamente e cria a topologia de replicao entre sites
para assegurar que as alteraes sejam replicadas com eficincia entre os servidores bridgehead que
compartilham um link de site. Os servidores bridgehead so selecionados por partio, ento possvel
que um controlador de domnio em um site seja o servidor bridgehead para o esquema, e haja outro
para a configurao. Entretanto, voc normalmente achar que um controlador de domnio o servidor
bridgehead para todas as parties de um site, a menos que haja controladores de domnio de outros
domnios ou parties do diretrio de aplicativos. Nesse caso, sero escolhidos bridgeheads para essas
parties.
5-17
Viso geral de registros de recursos de servios para controladores

de domnio
Quando voc adiciona um controlador de
domnio a um domnio, o controlador
de domnio anuncia seus servios criando
registros de recursos de servios (SRV) (tambm
conhecidos como registros de localizador) no
DNS. Ao contrrio dos registros de recursos
de host (A), que mapeiam nomes de host para
endereos IP, os registros SRV mapeiam servios
para nomes de host. Por exemplo, para publicar
sua capacidade de fornecer autenticao e acesso
de diretrio, um controlador de domnio guarda
registros SRV LDAP e do protocolo v5 Kerberos.
Esses registros SRV so adicionados a vrias pastas dentro das zonas DNS da floresta.
Dentro da zona de domnio, uma pasta chamada name_tcp contm os registros SRV de todos os
controladores do domnio. Alm disso, dentro da zona de domnio est uma pasta chamada name_sites,
que contm subpastas para cada site configurado no domnio. Cada pasta especfica ao site contm
registros SRV que representam servios disponveis no site. Por exemplo, se um controlador de domnio
estiver localizado em um site, um registro SRV estar localizado no caminho _sites\sitename\_tcp, onde
sitename o nome do site.
Um registro SRV tpico contm as seguintes informaes:
O nome do servio e a porta. Essa parte do registro SRV indica um servio com uma porta fixa.
No precisa ser uma porta conhecida. Os registros SRV no Windows Server 2012 incluem LDAP
(porta 389), Kerberos (porta 88), senha do protocolo Kerberos (KPASSWD, porta 464) e servios
de catlogo global (porta 3268).
Protocolo. O protocolo TCP ou UDP indicado como um protocolo de transporte do servio.

O mesmo servio pode usar ambos os protocolos em registros SRV separados. Por exemplo,
os registros Kerberos so registrados para TCP e UDP. Os clientes Microsoft usam apenas TCP,
mas os clientes UNIX podem usar UDP e TCP.
Nome do host. Corresponde ao registro do host A para o servidor que hospeda o servio.
Quando um cliente faz a consulta de um servio, o servidor DNS retorna o registro SRV e os
registros associados do host A, portanto o cliente no precisa enviar uma consulta separada
para resolver o endereo IP de um servio.
O nome do servio em um registro SRV segue a hierarquia DNS padro com componentes separados
por pontos. Por exemplo, o servio Kerberos de um controlador de domnio registrado como:
kerberos._tcp.sitename._sites.domainname, em que:
domainName o domnio ou a zona, por exemplo, contoso.com.
_sites corresponde a todos os sites registrados no DNS.
sitename o site do controlador de domnio que registra o servio.
_tcp qualquer servio baseado em TCP no site.
kerberos um KDC (Centro de Distribuio de Chaves) Kerberos que usa o TCP como seu protocolo
de transporte.
Como computadores cliente localizam controladores de domnio dentro

de sites
Quando voc inclui um cliente do sistema
operacional Windows em um domnio
e depois o reinicia, o cliente conclui um
processo de localizao e registro do
controlador de domnio. O objetivo desse
processo de registro localizar o controlador
de domnio com a localizao mais eficiente
e prxima para o local do cliente com base
nas informaes de sub-rede IP.
O processo de localizao de um controlador
de domnio o seguinte:
1.
O novo cliente consulta todos os

controladores de domnio no domnio. Quando o novo cliente do domnio reiniciado, ele recebe
um endereo IP de um servidor DHCP e est pronto para se autenticar no domnio. Mas o cliente
no sabe onde localizar um controlador de domnio. Portanto, o cliente consulta um controlador
de domnio consultando a pasta _tcp, que contm os registros SRV de todos os controladores
no domnio.
2.
O cliente tenta um ping LDAP em todos os controladores de domnio em sequncia. O DNS retorna
uma lista de todos os controladores de domnio correspondentes, e o cliente tenta entrar em contato
com todos eles em sua primeira inicializao.
3.
O primeiro controlador de domnio responde. O primeiro controlador de domnio que responde

ao cliente examina o endereo IP do cliente, faz referncias cruzadas desse endereo com objetos
de sub-rede e informa ao cliente o site ao qual o cliente pertence. O cliente armazena o nome
do site em seu Registro e, em seguida, consulta controladores de domnio na pasta _tcp especfica
ao site.
4.
O cliente consulta todos os controladores de domnio do site. O DNS retorna uma lista de todos
os controladores de domnio do site.
5.
O cliente tenta um ping LDAP sequencialmente em todos os controladores de domnio do site.

O controlador de domnio que responder primeiro autentica o cliente.
6.
O cliente forma uma afinidade. O cliente forma uma afinidade com o controlador de domnio que
respondeu primeiro, e ento tenta autenticar com o mesmo controlador de domnio no domnio
futuro. Se o controlador de domnio no estiver disponvel, o cliente consultar a pasta _tcp do
site novamente e, mais uma vez, tentar a associao ao primeiro controlador de domnio que
responder no site.
Se o cliente mudar para outro site, como no caso de um computador mvel, o cliente tentar se
autenticar em seu controlador de domnio preferencial. O controlador de domnio percebe que o
endereo IP do cliente est associado a um site diferente e indica o cliente ao novo site. Em seguida,
o cliente consulta o DNS quanto aos controladores de domnio do site local.
Cobertura automtica do site

Como mencionado anteriormente, voc pode configurar sites para direcionar os usurios a cpias
locais de recursos replicados, como pastas compartilhadas replicadas dentro de um namespace do
DFS. Pode haver cenrios nos quais voc precisa apenas da localizao de servios, sem a necessidade
de um controlador de domnio localizado dentro do site. Nesse caso, um controlador de domnio
prximo guardar seus registros SRV no site usando um processo chamado de cobertura do site.
Um site sem um controlador de domnio geralmente coberto por um controlador de domnio de
um site com o menor custo de link para o site que requer a cobertura. Voc tambm pode configurar
a cobertura do site e a prioridade de registros SRV manualmente, caso queira controlar a autenticao
em sites sem controladores de domnio.
Leitura adicional: Para obter mais informaes sobre como a cobertura do site avaliada,
consulte http://go.microsoft.com/fwlink/?LinkId=168550.
5-19
Lio 3
Configurao e monitoramento da replicao do AD DS

Depois de configurar os sites que representam sua infraestrutura de rede, a prxima etapa determinar
se qualquer link de site adicional necessrio para ajudar a gerenciar a replicao do AD DS. O AD DS
fornece vrias opes que voc pode configurar para controlar como a replicao ocorre pelos links
de sites. Voc tambm precisa entender as ferramentas que pode usar para monitorar e gerenciar
a replicao em um ambiente de rede AD DS.
Objetivos da lio
Descrever links de sites do AD DS.
Explicar o conceito de pontes de links de sites.
Descrever o cache de associao de grupo universal.
Descrever como controlar a replicao entre sites.
Configurar a replicao entre sites do AD DS.
Descrever opes para configurar polticas de replicao de senha para RODCs.
Configurar polticas de replicao de senha.
Descrever ferramentas usadas para monitorar e gerenciar a replicao.
O que so links de sites do AD DS?

Para dois sites trocarem dados de replicao,
um link de site deve conect-los. Um link de site
um caminho lgico que o KCC\ISTG usa para
estabelecer a replicao entre sites. Quando
voc cria sites adicionais, deve selecionar pelo
menos um link que conectar o novo site a um
site existente. A menos que j haja um link de
site, o KCC no poder fazer conexes entre
computadores em sites diferentes, nem poder
ocorrer replicao entre os sites.
O importante a ser lembrado sobre um link
de site que ele representa um caminho
disponvel para replicao. Um nico link de site no controla as rotas de rede que so usadas. Ao criar
um link de site e adicionar sites a ele, voc est informando ao AD DS que pode fazer a replicao
entre qualquer um dos sites associados ao link de site. O ISTG cria objetos de conexo, e esses objetos
determinaro o caminho de replicao real. Embora a topologia de replicao que o ISTG cria replique
o AD DS com eficincia, ela pode no ser eficiente, dependendo de sua topologia de rede.
5-21
Para entender melhor esse conceito, considere o exemplo a seguir. Quando voc cria uma floresta,
um objeto de link de site criado: DEFAULTIPSITELINK. Por padro, cada novo site que voc adiciona
associado ao DEFAULTIPSITELINK. Considere uma organizao com um data center na matriz e trs
filiais. Cada uma das trs filiais conectada ao data center com um link dedicado. Voc cria sites
para cada filial: Seattle (SEA), Amsterd (AMS) e Beijing (PEK). Cada um dos sites, inclusive a matriz,
associado ao objeto de link de site DEFAULTIPSITELINK.
Como todos os quatro sites esto no mesmo link de site, voc est informando ao AD DS que todos os
quatro sites podem se replicar entre si. Isso significa que Seattle pode replicar alteraes de Amsterd;
Amsterd pode replicar alteraes de Beijing; e Beijing pode replicar alteraes da matriz, que, por sua
vez, replica alteraes de Seattle. Em vrios desses caminhos de replicao, o trfego de replicao na
rede flui de uma filial para a outra, passando pela matriz. Com um nico link de site, voc no cria
uma topologia de replicao hub e spoke, embora sua topologia de rede seja hub e spoke.
Para alinhar sua topologia de rede replicao do Active Directory, voc deve criar links de sites
especficos. Ou seja, voc pode criar manualmente links de sites que reflitam sua topologia
de replicao pretendida. Continuando o exemplo anterior, voc criaria trs links de sites
como os seguintes:
HQ-AMS inclui os sites Matriz e Amsterd.
HQ-SEA inclui os sites Matriz Seattle.
HQ-PEK inclui os sites Matriz e Beijing.
Depois que voc criar links de sites, o ISTG usar a topologia para criar uma topologia de replicao
entre sites que conecte cada site e, em seguida, criar automaticamente objetos de conexo para
configurar os caminhos de replicao. Como uma prtica recomendada, voc deve configurar
corretamente sua topologia de site e evitar criar objetos de conexo manualmente.
O que a ponte de link de site?

Depois que voc criar links de sites e o ISTG gerar
objetos de conexo para replicar parties entre
controladores de domnio que compartilham um
link de site, seu trabalho poder estar concludo.
Em muitos ambientes, principalmente aqueles
com topologias de rede simples, os links de sites
podem ser suficientes para gerenciar a replicao
entre sites. Em redes mais complexas, porm,
voc pode configurar componentes adicionais
e propriedades de replicao.
Ponte de link de site automtica

Por padro, todos os links de sites tm pontes. Por exemplo, se os sites Amsterd e Matriz estiverem
vinculados, bem como os sites Matriz e Seattle, Amsterd e Seattle estaro vinculados com um custo mais
alto. Teoricamente, isso significa que o ISTG poderia criar um objeto de conexo diretamente entre um
controlador de domnio em Seattle e um controlador de domnio em Amsterd, se um controlador de
domnio no estivesse disponvel na matriz para replicao. Isso realizado com a topologia de rede hub
e spoke.
Voc pode desabilitar a ponte de link de site automtica abrindo as propriedades do transporte IP
no continer Transportes Entre Sites e, em seguida, desmarcando a caixa de seleo Ponte entre
Links de Sites. Antes de fazer isso em um ambiente de produo, leia os recursos tcnicos sobre
replicao nas bibliotecas tcnicas do Windows Server no site do Microsoft TechNet.
Pontes de links de sites

Uma ponte de link de site conecta dois ou mais links de sites de modo a criar um link transitivo. As pontes
de links de sites so necessrias apenas depois que voc desmarca a caixa de seleo Ponte entre Links
de Sites para o protocolo de transporte. Lembre-se de que a ponte de link de site automtica habilitada
por padro e, nesse caso, no so necessrias pontes de links de sites.
A figura no slide ilustra o uso de uma ponte de link de site em uma floresta na qual a ponte de link de
site automtica foi desabilitada. Criando a ponte de link de site AMS-HQ-SEA, que inclui os links de sites
HQ-AMS e HQ-SEA, esses dois links de sites se tornam transitivos. Portanto, uma conexo de replicao
pode ser feita entre um controlador de domnio em Amsterd e um controlador de domnio em Seattle.
O que o cache de associao de grupo universal?

Um dos problemas que voc talvez precise
resolver ao configurar a replicao do AD DS
a implantao ou no de servidores de
catlogo global em cada site. Como os servidores
de catlogo global so necessrios quando
os usurios entram no domnio, a implantao
de um servidor de catlogo global em cada site
otimiza a experincia do usurio. Entretanto,
a implantao de um servidor de catlogo
global em um site pode resultar em trfego
de replicao adicional, o que poder ser
um problema se a conexo de rede entre sites
do AD DS tiver limitado a largura de banda. Nesses cenrios, possvel implantar controladores de
domnio que executem o Windows Server 2008 ou uma verso mais recente e, em seguida, habilitar
o cache de associao de grupo universal para o site.
5-23
Como funciona o cache de associao de grupo universal

Um controlador de domnio em um site que tem o cache de associao de grupo universal habilitado
armazena as informaes de grupo universal localmente, depois que um usurio tenta entrar pela
primeira vez. O controlador de domnio obtm as informaes de associao de grupo universal de
um servidor de catlogo global em outro site. Em seguida, ele armazena as informaes indefinidamente
no cache, e as atualiza periodicamente. Na prxima vez que o usurio tentar entrar, o controlador de
domnio obter as informaes de associao de grupo universal de seu cache local sem contatar um
servidor de catlogo global.
Por padro, as informaes de associao de grupo universal contidas no cache de cada controlador de
domnio so atualizadas a cada oito horas. Para atualizar o cache, os controladores de domnio enviam
uma solicitao de confirmao de associao de grupo universal a um servidor catlogo global
designado.
Voc pode configurar o cache de associao de grupo universal nas propriedades do n Configuraes
do Site NTDS.
Gerenciamento da replicao entre sites

Quando voc cria um link de site, tem vrias
opes de configurao que poder usar para
ajudar a gerenciar a replicao entre sites.
Essas opes incluem:
Custos de links de sites. Os custos de links

de sites gerenciam o fluxo do trfego de
replicao quando h mais de uma rota para
trfego de replicao. Voc pode configurar
os custos de links de sites para indicar que
um link mais rpido, mais confivel ou
preferencial. Os custos mais altos so usados
para links lentos, e os mais baixos so usados
para links rpidos. O AD DS replica usando a conexo com o custo mais baixo. Por padro, todos
os links de sites so configurados com um custo de 100.
Frequncia de replicao. A replicao entre sites se baseia apenas em sondagem. Por padro, a cada
trs horas, um parceiro de replicao sonda seus parceiros de replicao upstream para determinar
se h alteraes disponveis. Esse intervalo de replicao poder ser muito longo para as organizaes
que desejam que as alteraes no diretrio sejam replicadas mais rapidamente. Voc pode alterar o
intervalo de sondagem acessando as propriedades do objeto de link de site. O intervalo de sondagem
mnimo 15 minutos.
Agendamentos de replicao. Por padro, a replicao ocorre 24 horas por dia. Entretanto, voc pode
restringir a replicao entre sites a horrios especficos alterando os atributos de agendamento de um
link de site.
Demonstrao: Configurao da replicao entre sites do AD DS

Nesta demonstrao, voc ver como configurar a replicao entre sites do AD DS.
1.
No Gerenciador do Servidor, abra Servios e Sites do Active Directory.
2.
Renomeie DEFAULTIPSITELINK como LON-TOR.
3.
Clique com o boto direito do mouse do mouse no link de site e clique em Propriedades.
4.
Modifique o Custo, o Intervalo de replicao e a Agenda conforme necessrio.
5.
Se necessrio, abra as propriedades do n IP e modifique a opo Ponte entre links de sites.
Opes para configurar polticas de replicao de senha para RODCs

Os RODCs tm requisitos de replicao do AD DS
exclusivos relacionados s credenciais do usurio
em cache. Eles usam polticas de replicao de
senha para determinar quais credenciais dos
usurios podem ser armazenadas em cache no
servidor. Se uma poltica de replicao de senha
permitir que um RODC armazene em cache
as credenciais de um usurio, o RODC poder
processar as atividades de autenticao e tquete
de servio desse usurio. Se no for permitido que
as credenciais de um usurio sejam armazenadas
em cache no RODC, este indicar as atividades de
autenticao e tquete de servio a um controlador de domnio gravvel.
Para acessar a poltica de replicao de senha, abra as propriedades do RODC na UO de Controladores
de Domnio e clique na guia Poltica de Replicao de Senha. A poltica de replicao de senha de
um RODC determinada por dois atributos de mltiplos valores da conta de computador do RODC.
Esses atributos geralmente so conhecidos como Lista Permitida e Lista Negada. Se a conta de um
usurio estiver na Lista Permitida, as credenciais do usurio sero armazenadas em cache. Voc pode
incluir grupos na Lista Permitida e, nesse caso, todos os usurios que pertencerem ao grupo podero
ter suas credenciais armazenadas em cache no RODC. Se o usurio estiver na Lista Permitida e na Lista
Negada, o RODC no armazenar em cache as credenciais do usurio. A Lista Negada tem precedncia.
5-25
Para facilitar o gerenciamento da poltica de replicao de senha, dois grupos de segurana locais
do domnio so criados no continer Usurios do AD DS. O primeiro grupo de segurana, o Grupo
de Replicao de Senha RODC Permitido, adicionado Lista Permitida para cada novo RODC. Por
padro, esse grupo no tem membros. Portanto, por padro, um novo RODC no armazenar em
cache as credenciais de nenhum usurio. Se houver usurios cujas credenciais que deseja que sejam
armazenadas em cache por todos os RODCs do domnio, adicione esses usurios ao Grupo de Replicao
de Senha RODC Permitido. Como uma prtica recomendada, voc pode criar uma Lista de Permisses
para cada site e configurar apenas os usurios atribudos ao site na Lista de Permisses.
O segundo grupo, o Grupo de Replicao de Senha RODC Negado, adicionado Lista Negada para
cada novo RODC. Se voc desejar assegurar que os RODCs do domnio nunca armazenem em cache as
credenciais de determinados usurios, poder adicionar esses usurios ao Grupo de Replicao de Senha
RODC Negado. Por padro, esse grupo contm contas sensveis segurana que so membros de grupos,
inclusive Admins. do Domnio, Administradores de Empresa, Administradores de Esquema, Editores
de Certificados e Proprietrios Criadores de Poltica de Grupo.
Demonstrao: Configurao de polticas de replicao de senha

Nesta demonstrao, voc ver como configurar polticas de replicao de senha.
1.
Execute Usurios e Computadores do Active Directory.
2.
Crie previamente um objeto de computador RODC denominado LON-RODC1.
3.
Na UO Domain Controllers, abra as propriedades de LON-RODC1.
4.
Clique na guia Diretiva de Replicao de Senha e exiba a poltica padro.
5.
Feche a caixa de dilogo Propriedades de LON-RODC1.
6.
No console Usurios e Computadores do Active Directory, clique no continer Users.
7.
Clique duas vezes em Grupo de Replicao de Senha RODC Permitido, clique na guia Membros
e examine a associao padro de Grupo de Replicao de Senha RODC Permitido. Por padro,
no deve haver nenhum membro.
8.
Clique em OK.
9.
Clique duas vezes em Grupo de Replicao de Senha RODC Negado e clique na guia Membros.
10. Clique em Cancelar para fechar a caixa de dilogo Propriedades de Grupo de Replicao
de Senha RODC Negado.
Ferramentas para gerenciar e monitorar a replicao

Depois de implementar sua configurao de
replicao, voc dever ser capaz de monitorar
a replicao para suporte contnuo, otimizao
e soluo de problemas. Duas ferramentas so
particularmente teis para relatar e analisar
a replicao: a ferramenta Diagnsticos da
Replicao (Repadmin.exe) e a ferramenta
Diagnstico do Servidor de Diretrio (Dcdiag.exe).
A ferramenta Diagnsticos
da Replicao
Diagnsticos da Replicao, Repadmin.exe,
uma ferramenta de linha de comando que
permite relatar o status da replicao em cada controlador de domnio. As informaes que
Repadmin.exe gera podem ajudar voc a detectar um possvel problema com a replicao na floresta.
Voc pode exibir nveis de detalhes at os metadados da replicao para objetos e atributos especficos,
permitindo a identificao de onde e quando uma alterao problemtica for feita no AD DS. Voc pode
at usar a ferramenta Repadmin.exe para exibir a topologia de replicao e forar a replicao entre
os controladores de domnio.
Repadmin.exe d suporte a uma srie de comandos que executam tarefas especficas. Voc pode
aprender sobre cada comando digitando repadmin /?:command em uma linha de comando.
A maioria dos comandos requer argumentos. Muitos comandos utilizam um parmetro DC_LIST, que
simplesmente um rtulo de rede (DNS, nome NetBIOS ou endereo IP) de um controlador de domnio.
Algumas das tarefas mais comuns de monitoramento de replicao que voc pode executar usando
a ferramenta Repadmin so:
Exibir os parceiros de replicao de um controlador de domnio. Para exibir as conexes de replicao

de um controlador de domnio, digite repadmin /showrepl DC_LIST. Por padro, Repadmin.exe
mostra apenas conexes entre sites. Adicione o argumento /repsto para consultar tambm conexes
entre sites.
Exibir objetos de conexo de um controlador de domnio. Digite repadmin /showconn DC_LIST

para mostrar os objetos de conexo de um controlador de domnio.
Exibir metadados sobre um objeto, seus atributos e replicao. Voc pode aprender muito sobre a
replicao examinando um objeto em dois controladores de domnio diferentes para descobrir quais
atributos foram ou no replicados. Digite repadmin /showobjmeta DC_LIST Object, onde DC_LIST
indica o controlador de domnio a ser consultado. (Voc pode usar um asterisco [*] para indicar todos
os controladores de domnio.) Object um identificador exclusivo do objeto, seu nome diferenciado
ou GUID, por exemplo.
5-27
Voc tambm pode fazer alteraes em sua infraestrutura de replicao usando a ferramenta Repadmin.
Algumas das tarefas de gerenciamento que voc pode executar so:
Iniciar o KCC. Digite repadmin /kcc para forar o KCC a recalcular a topologia de replicao
de entrada para o servidor.
Forar a replicao entre dois parceiros. Voc pode usar Repadmin para forar a replicao de uma
partio entre um controlador de domnio de origem e de destino. Digite repadmin /replicate
DC_LIST_Destino Nome_DC_Origem Contexto_Nomenclatura.
Sincronizar um controlador de domnio com todos os parceiros de replicao. Digite repadmin

/syncall DC/A /e para sincronizar um controlador de domnio com todos os seus parceiros,
inclusive aqueles em outros sites.
A ferramenta Diagnstico do Servidor de Diretrio

A ferramenta Diagnstico do Servidor de Diretrio, Dcdiag.exe, executa vrios testes e relata a integridade
geral de replicao e segurana do AD DS. Executada sozinha, dcdiag.exe executa testes resumidos e
relata os resultados. No outro extremo, dcdiag.exe /c executa praticamente todos os testes. A sada
dos testes pode ser redirecionada para arquivos de vrios tipos, inclusive XML. Digite dcdiag /? para
obter informaes completas de uso.
Voc tambm pode especificar um ou mais testes a serem executados usando o parmetro /test:Nome
do Teste. Os testes que esto diretamente relacionados replicao incluem:
FrsEvent. Relata quaisquer erros de operao no Sistema de Replicao de Arquivos.
DFSREvent. Relata quaisquer erros de operao na Replicao do Sistema de Arquivos Distribudos.
Intersite. Procura falhas que podem impedir ou atrasar a replicao entre sites.
KccEvent. Identifica erros no KCC.
Replications. Verifica se h replicao em tempo hbil entre dois controladores de domnio.
Topology. Verifica se a topologia de replicao est totalmente conectada para todos

os controladores de domnio.
VerifyReplicas. Verifica se foram totalmente criadas instncias das parties do diretrio de aplicativos
em todos os controladores de domnio que hospedam rplicas.
Laboratrio: Implementao de sites e replicao

do AD DS
Cenrio
A A. Datum Corporation implantou um nico domnio do AD DS com todos os controladores
de domnio localizados no data center de Londres. Como a empresa cresceu e adicionou filiais
com grandes nmeros de usurios, tornou-se aparente que o ambiente do AD DS atual no est
atendendo aos requisitos da empresa. Os usurios de algumas das filiais relatam que podem levar
muito tempo para entrar em seus computadores. O acesso a recursos da rede, como os servidores
do Microsoft Exchange 2010 e do Microsoft SharePoint da empresa pode ser lento, e eles falham
esporadicamente.
Como um dos administradores de rede seniores, voc responsvel por planejar e implementar
uma infraestrutura do AD DS que ajudar a atender aos requisitos comerciais da organizao. Voc
responsvel por configurar sites e replicao do AD DS para otimizar a experincia de usurio
e a utilizao da rede dentro da organizao.
Objetivos
Configurar o site padro criado no AD DS.
Criar e configurar sites adicionais no AD DS.
Configurar e monitorar a replicao entre sites do AD DS.
Mquinas virtuais
24412B-LON-DC1
24412B-TOR-DC1
Nome de Usurio
Senha
Pa$$w0rd
1.

2.
3.
4.
5.
a.
b.
Senha: Pa$$w0rd
Repita as etapas de 2 a 4 para 24412B-TOR-DC1.
5-29
Exerccio 1: Modificao do site padro

Cenrio
A Datum Corporation decidiu implementar sites adicionais do AD DS para otimizar a utilizao da rede
para o trfego de rede do AD DS. A primeira etapa na implementao do novo ambiente instalar um
novo controlador de domnio para o site Toronto. Voc reconfigurar ento o site padro e atribuir
sub-redes de endereo IP apropriadas ao site.
Finalmente, voc foi solicitado a alterar o nome do site padro para LondonHQ e associ-lo sub-rede
IP 172.16.0.0/24, que o intervalo de sub-rede usado para o escritrio matriz de Londres.
1.
Instalar o controlador de domnio de Toronto.
2.
Renomear o site padro.
3.
Configurar sub-redes IP associadas ao site padro.
Tarefa 1: Instalar o controlador de domnio de Toronto

1.
Em TOR-DC1, use o Gerenciador do Servidor para instalar os Servios de Domnio Active Directory.
2.
Quando os binrios do AD DS estiverem instalados, use o Assistente de Configurao dos Servios

de Domnio do Active Directory para instalar e configurar TOR-DC1 como um controlador de
domnio adicional para Adatum.com.
3.
Aps a reinicializao do servidor, entre como Adatum\Administrador com a senha Pa$$w0rd.
Tarefa 2: Renomear o site padro

1.
Se necessrio, em LON-DC1, abra o console do Gerenciador do Servidor.
2.
Abra Servios e Sites do Active Directory e renomeie o site Default-First-Site-Name

para LondonHQ.
3.
Verifique se LON-DC1 e TOR-DC1 so membros do site LondonHQ.
Tarefa 3: Configurar sub-redes IP associadas ao site padro

1.
Se necessrio, em LON-DC1, abra o console do Gerenciador do Servidor e, em seguida,

abra Servios e Sites do Active Directory.
2.
Crie uma nova sub-rede com a seguinte configurao:

o
Prefixo: 172.16.0.0/24
Objeto de site: LondonHQ
Resultados: Depois de concluir este exerccio, voc ter reconfigurado o site padro e atribudo
sub-redes de endereo IP ao site.
Exerccio 2: Criao de sites e sub-redes adicionais

Cenrio
A prxima etapa na implementao do design de site do AD DS configurar o novo site do AD DS.
O primeiro site que voc precisa implementar o site Toronto para o data center Amrica do Norte.
A equipe de rede em Toronto tambm gostaria de dedicar um site chamado TestSite no data center
Toronto. Voc foi informado de que o endereo de sub-rede IP de Toronto 172.16.1.0/24,
e o endereo de sub-rede IP da rede de teste 172.16.100.0/24.
1.
Criar os sites do AD DS para Toronto.
2.
Criar sub-redes IP associadas aos sites de Toronto.
Tarefa 1: Criar os sites do AD DS para Toronto

1.
Se necessrio, em LON-DC1, abra o console do Gerenciador do Servidor e, em seguida, abra

Servios e Sites do Active Directory.
2.
Crie um novo site com a seguinte configurao:
3.
Nome: Toronto
Objeto de link de site: DEFAULTIPSITELINK
Crie outro novo site com a seguinte configurao:

o
Nome: TestSite
Objeto de link de site: DEFAULTIPSITELINK
Tarefa 2: Criar sub-redes IP associadas aos sites de Toronto

1.
Se necessrio, em LON-DC1, abra Servios e Sites do Active Directory.
2.
Crie uma nova sub-rede com a seguinte configurao:
3.
4.
Prefixo: 172.16.1.0/24
Objeto de site: Toronto
Crie outra nova sub-rede com a seguinte configurao:

o
Prefixo: 172.16.100.0/24
Objeto de site: TestSite
No painel de navegao, clique na pasta Subnets. Verifique no painel de detalhes se as trs

sub-redes esto criadas e associadas ao site apropriado.
Resultados: Aps este exerccio, voc ter criado dois sites adicionais que representam os endereos
de sub-rede IP localizados em Toronto.
5-31
Exerccio 3: Configurao da replicao do AD DS

Cenrio
Agora que os sites do AD DS foram configurados para Toronto, a prxima etapa configurar os links de
sites para gerenciar a replicao entre os sites e, em seguida, mover o controlador de domnio TOR-DC1
para o site Toronto. Atualmente todos os sites pertencem a DEFAULTIPSITELINK.
Voc precisa modificar a vinculao de sites de forma que LondonHQ e Toronto pertenam a um link
de site comum chamado LON-TOR. Voc deve configurar esse link para replicar a cada hora. Alm disso,
voc deve vincular o site TestSite apenas ao site Toronto usando um link de site denominado TOR-TEST.
A replicao no dever estar disponvel do site Toronto para o TestSite durante o horrio de trabalho
das 9 s 15 h.
Em seguida, voc usar ferramentas para monitorar a replicao entre os sites.
1.
Configurar links de sites entre sites do AD DS.
2.
Mover TOR-DC1 para o site Toronto.
3.
Monitorar a replicao de sites do AD DS.
Tarefa 1: Configurar links de sites entre sites do AD DS

1.
2.
Crie um novo link de site baseado em IP com a seguinte configurao:
3.
Nome: TOR-TEST
Sites: Toronto, TestSite
Modifique a agenda para permitir somente a replicao de segunda-feira a sexta-feira

de 9:00 a 15:00
Renomeie DEFAULTIPSITELINK e configure-o da seguinte forma:

o
Nome: LON-TOR
Sites: LondonHQ, Toronto
Replicao: a cada 60 minutos
Tarefa 2: Mover TOR-DC1 para o site Toronto

1.
2.
Mova TOR-DC1 do site LondonHQ para o site Toronto.
3.
Verifique se TOR-DC1 est localizado no n Servidores no site Toronto.
Tarefa 3: Monitorar a replicao de sites do AD DS

1.
Em LON-DC1, na barra de tarefas, clique no cone do Windows PowerShell.
2.
Use os seguintes comandos para monitorar a replicao de sites:

Repadmin /kcc
O comando recalcula a topologia de replicao de entrada para o servidor.

Repadmin /showrepl
Verifique se a ltima replicao com TOR-DC1 foi bem-sucedida.

Repadmin /bridgeheads
Esse comando exibe os servidores bridgehead da topologia do site.

Repadmin /replsummary
Esse comando exibe um resumo de tarefas de replicao. Verifique se no aparece nenhum erro.
DCDiag /test:replications
Verifique se todos os testes de conectividade e replicao foram concludos com xito.

3.
Alterne para TOR-DC1 e repita os comandos para exibir informaes da perspectiva de TOR-DC1.
Resultados: Aps este exerccio, voc ter configurado links de sites e monitorado a replicao.

estas etapas.
1.
2.
em Reverter.
3.
4.
Repita as etapas 2 e 3 para 24412B-TOR-DC1.

Prtica recomendada:
Implemente as seguintes prticas recomendadas ao gerenciar sites do Active Directory
e a replicao em seu ambiente:
Sempre fornea pelo menos um ou mais servidores de catlogo global por site.
Verifique se todos os sites tm sub-redes apropriadas associadas.
No configure intervalos longos sem replicao ao configurar agendas de replicao

para a replicao entre sites.
Evite usar o SMTP como um protocolo de replicao.

Problema comum
O cliente no consegue localizar o controlador

de domnio em seu site.
A replicao entre sites no funciona.
A replicao entre dois controladores de

domnio no mesmo site no funciona.
Perguntas de reviso
Pergunta: Por que importante que todas as sub-redes sejam identificadas e associadas
a um site em uma empresa multissite?
Pergunta: Quais so as vantagens e desvantagens de reduzir o intervalo de replicao
entre sites?
Pergunta: Qual a finalidade de um servidor bridgehead?
5-33
6-1
Mdulo 6
Implementao dos Servios de Certificados
do Active Directory
Contedo:
Viso geral do mdulo
6-1
Lio 1: Viso geral do PKI
6-2
Lio 2: Implantao de autoridades de certificao
6-12
Laboratrio A: Implantao e configurao da hierarquia de autoridades

de certificao
6-19
Lio 3: Implantao e gerenciamento de modelos de certificados
6-23
Lio 4: Implementao da distribuio e revogao de certificados
6-29
Lio 5: Gerenciamento da recuperao de certificados
6-39
Laboratrio B: Implantao e gerenciamento de certificados
6-44
6-51
Viso geral do mdulo

A PKI (infraestrutura de chave pblica) consiste em vrios componentes que ajudam a proteger as
comunicaes e as transaes corporativas. Um desses componentes a AC (autoridade de certificao).
Voc pode usar as ACs para gerenciar, distribuir e validar certificados digitais que so usados para
proteger informaes. Voc pode instalar o AD CS (Servios de Certificados do Active Directory)
como uma AC raiz ou uma AC subordinada em sua organizao. Neste mdulo, voc vai aprender
a implementar a funo de servidor e os certificados do AD CS.
Objetivos
Descrever o PKI.
Implantar as ACs.
Implantar e configurar uma hierarquia de AC.
Implantar e gerenciar os modelos de certificados.
Implementar a distribuio e a revogao de certificados.
Gerenciar a recuperao de certificados.
6-2
Implementao dos Servios de Certificados do Active Directory
Lio 1
Viso geral do PKI

A PKI ajuda voc a verificar e autenticar a identidade de cada parte envolvida em uma transao
eletrnica. Ela tambm ajuda a estabelecer confiana entre os computadores e os aplicativos
correspondentes que so hospedados em servidores de aplicativos. Um exemplo comum inclui o uso
de tecnologia de PKI para proteger sites. Os certificados digitais so componentes importantes da PKI
que contm credenciais eletrnicas, as quais so usadas para autenticar usurios ou computadores.
Alm disso, os certificados podem ser validados usando os processos de descoberta de certificado,
validao de caminho e verificao de revogao. O Windows Server 2012 d suporte criao de
uma infraestrutura de servios de certificados na sua organizao usando os componentes do AD CS.
Objetivos da lio
Descrever o PKI.
Descrever os componentes de uma soluo PKI.
Descrever as ACs.
Descrever a funo de servidor do AD CS no Windows Server 2012.
Descrever os novos recursos do AD CS no Windows Server 2012.
Explicar a diferena entre as ACs pblicas e privadas.
Descrever a hierarquia de certificao cruzada.
O que PKI?
PKI uma combinao de software,
tecnologias de criptografia, processos e
servios que ajudam uma organizao na
proteo de suas comunicaes e transaes
de negcios. um sistema de certificados
digitais, ACs e outras autoridades de registro.
Quando ocorre uma transao eletrnica,
a PKI verifica e autentica a validade de cada
parte envolvida. Os padres de PKI ainda
esto em evoluo, mas eles so amplamente
implementados como um componente
essencial do comrcio eletrnico.
6-3
Conceitos gerais de PKI

Em geral, uma soluo PKI depende de vrias tecnologias e componentes. Quando voc planeja
a implementao de PKI, deve considerar e entender o seguinte:
Infraestrutura. O significado neste contexto igual ao significado em qualquer outro contexto,

como eletricidade, transporte ou fornecimento de gua. Cada um desses elementos realiza um
trabalho especfico e tem requisitos que devem ser satisfeitos para funcionar de forma eficiente.
A soma desses elementos permite o uso eficiente e seguro da PKI. Os elementos que compem
uma PKI incluem os seguintes:
o
Uma AC
Um repositrio de certificados
Uma autoridade de registro
A capacidade para revogar certificados
A capacidade para fazer backup, recuperar e atualizar chaves
A capacidade para regular e acompanhar o tempo
Processamento do lado do cliente

A maioria desses componentes ser discutida em tpicos e lies subsequentes neste mdulo.
Chaves pblicas/privadas. Em geral, h dois mtodos para criptografar e descriptografar dados:

o
Criptografia simtrica: os mtodos para criptografar e descriptografar dados so idnticos ou

espelhos um do outro. Os dados so criptografados usando um mtodo ou uma chave especfica.
Para descriptografar os dados, voc deve ter o mtodo ou a chave idntica. Portanto, qualquer
um que tenha a chave pode descriptografar os dados. A chave deve permanecer privada para
preservar a integridade da criptografia.
Criptografia assimtrica: neste caso, os mtodos para criptografar e descriptografar dados no

so idnticos e no so espelhos um do outro. Os dados so criptografados usando um mtodo
ou uma chave especfica. No entanto, uma chave diferente usada para descriptografar dados.
Isso feito usando um par de chaves. Cada pessoa obtm um par de chaves que consiste em
uma chave pblica e uma chave privada. Essas chaves so nicas e os dados que a chave pblica
criptografa podem ser descriptografados usando a chave privada e vice-versa. Nessa situao,
as chaves so suficientemente diferentes e o conhecimento ou a posse de uma no permite
determinar a outra. Portanto, uma das chaves (pblica) pode ser disponibilizada publicamente
sem reduzir a segurana dos dados, contanto que a outra chave (particular) permanea privada;
por isso o nome infraestrutura de chave pblica.
Os algoritmos que usam criptografia simtrica so rpidos e eficientes para uma quantidade grande
de dados. No entanto, como eles usam uma chave simtrica, no so considerados seguros o bastante,
j que se deve sempre transportar a chave outra parte. Alternativamente, os algoritmos que usam
criptografia assimtrica so seguros, mas muito lentos. Por isso, comum o uso da abordagem hbrida,
que significa que os dados so criptografados usando criptografia simtrica, enquanto a chave
de criptografia simtrica protegida com criptografia assimtrica.
6-4
Quando implementar uma soluo PKI, todo o seu sistema, e principalmente o aspecto de segurana,
pode se beneficiar. Os benefcios do uso da PKI incluem:
Confidencialidade. Uma soluo PKI permite a criptografia dos dados armazenados e dos dados
transmitidos.
Integridade. Voc pode usar a PKI para assinar dados digitalmente. Uma assinatura digital identifica
se foram modificados dados enquanto as informaes estavam em trnsito.
Autenticidade e no repdio. Os dados de autenticao atravessam algoritmos de hash como

o SHA-1 (Secure Hash Algorithm 1) para gerar um resumo da mensagem. Esse resumo assinado
digitalmente usando a chave privada do remetente para provar que o resumo da mensagem foi
gerado pelo remetente. O no repdio so dados assinados digitalmente nos quais a assinatura
digital fornece prova da integridade dos dados assinados e prova da origem dos dados.
Abordagem baseada em padres. A PKI baseada em padres, o que significa que vrios
fornecedores de tecnologia so obrigados a dar suporte s infraestruturas de segurana baseadas
na PKI. Ela baseada em padres da indstria definidos no RFC 2527, Estrutura de prticas
de certificao e de poltica de certificao da infraestrutura de chave pblica Internet X.509.
Componentes de uma soluo PKI

Muitos componentes devem trabalhar
em conjunto para fornecer uma soluo
PKI completa. Os componentes de PKI no
Windows Server 2012 so os seguintes:
AC. A AC emite e gerencia certificados

digitais para usurios, servios e
computadores. Com a implantao da AC,
voc estabelece a PKI na sua organizao.
Certificados digitais. Os certificados digitais

so semelhantes em funo a um passaporte
eletrnico. Um certificado digital usado para
provar a identidade do usurio (ou outra
entidade). Os certificados digitais contm as credenciais eletrnicas associadas a uma chave pblica
e a uma chave privada, as quais so usadas para autenticar os usurios e outros dispositivos, como
servidores Web e servidores de email. Os certificados digitais tambm garantem que o software
ou o cdigo seja executado de uma fonte confivel. Os certificados digitais contm vrios campos,
como Assunto, Emissor e Nome Comum. Esses campos so usados para determinar o uso especfico
do certificado. Por exemplo, um certificado de servidor Web poderia conter o campo Nome Comum
de web01.contoso.com, que tornaria esse certificado vlido apenas para esse servidor Web. Se fosse
feita uma tentativa de usar esse certificado em um servidor Web chamado web02.contoso.com,
o usurio desse servidor receberia um aviso.
Modelos de certificados. Esse componente descreve o contedo e a finalidade de um certificado

digital. Quando solicita um certificado de uma AC corporativa do AD CS, o solicitante do certificado,
dependendo dos seus direitos de acesso, pode escolher um dos vrios tipos de certificados baseados
em modelos de certificados, como Usurio e Assinatura de Cdigo. O modelo de certificado evita
que os usurios tenham que tomar decises tcnicas de nvel baixo sobre o tipo de certificado
de que necessitam. Alm disso, permite que os administradores identifiquem quem pode
solicitar quais certificados.
6-5
CRLs e respondentes online.

o
As CRLs (listas de certificados revogados) so listas completas e assinadas digitalmente

de certificados que foram revogados. Essas listas so publicadas periodicamente e podem
ser recuperadas e armazenadas em cache pelos clientes (de acordo com o tempo de vida
configurado da CRL). As listas so usadas para verificar o status de revogao de um certificado.
Os respondentes online fazem parte do servio de funo do protocolo OCSP no

Windows Server 2008 e no Windows Server 2012. Um respondente online pode receber
uma solicitao para verificar a revogao de um certificado sem exigir que o cliente baixe
toda a CRL. Isso acelera a verificao de revogao de certificado e reduz a largura de banda
da rede. Tambm aumenta a escalabilidade e a tolerncia a falhas, permitindo a configurao
de matriz dos respondentes online.
Servios e aplicativos baseados em chave pblica. Diz respeito a aplicativos ou servios que do
suporte criptografia de chave pblica. Em outras palavras, o aplicativo ou os servios devem
dar suporte a implementaes de chave pblica para receber os benefcios.
Ferramentas de certificados e gerenciamento de AC. As ferramentas de gerenciamento fornecem

ferramentas de linha de comando e ferramentas baseadas em GUI para:
o
Configurar ACs
Recuperar chaves privadas arquivadas
Importar e exportar chaves e certificados
Publicar certificados de AC e CRLs
Gerenciar certificados emitidos
AIA (acesso s informaes da autoridade) e CDPs (pontos de distribuio de CRL). Os pontos de

AIA determinam o local onde os certificados da AC so encontrados e validados, e os locais de CDP
determinam os pontos nos quais as listas de certificados revogados podem ser encontradas durante
o processo de validao de certificados. Como as CRLs podem aumentar (dependendo do nmero de
certificados emitidos e revogados por uma AC), voc tambm pode publicar CRLs menores e interinas
chamadas CRLs delta. As CRLs delta contm apenas os certificados revogados desde a publicao da
ltima CRL normal. Isso permite que os clientes recuperem as CRLs delta menores e compilem mais
rapidamente uma lista completa de certificados revogados. O uso de CRLs delta tambm permite
a publicao dos dados de revogao com mais frequncia, j que o tamanho de uma CRL delta
significa que ela normalmente no requer tanto tempo de transferncia quanto uma CRL completa.
HSM (mdulo de segurana de hardware). Um mdulo de segurana de hardware um

dispositivo seguro opcional de hardware criptogrfico que acelera o processamento criptogrfico
de gerenciamento de chaves digitais. Ele um armazenamento especializado de alta segurana
que conectado AC para gerenciar os certificados. Um HSM normalmente anexado fisicamente
a um computador. um complemento opcional na PKI e mais usado em ambientes de alta
segurana nos quais o comprometimento de uma chave poderia causar um grande impacto.
Observao: O componente mais importante de qualquer infraestrutura de segurana

a segurana fsica. Uma infraestrutura de segurana no apenas a implementao da PKI.
Outro elementos, como segurana fsica e polticas de segurana adequadas, tambm so
partes importantes de uma infraestrutura de segurana holstica.
6-6
O que so CAs?
Uma AC um servio bem projetado e
altamente confivel em uma empresa, o qual
fornece certificados a usurios e computadores,
mantm as CRLs e responde opcionalmente a
solicitaes de OCSP. Voc pode instalar uma
AC em seu ambiente implantando a funo
AD CS no Windows Server 2012. Quando a
primeira AC instalada, ela estabelece a PKI
na rede e fornece o ponto mais alto em toda a
estrutura. Voc pode ter uma ou mais autoridades
de certificao em uma rede, mas apenas uma
AC pode estar no ponto mais alto da hierarquia
AC (essa AC chamada de AC raiz, que ser discutida posteriormente neste mdulo).
As finalidades principais da AC so emitir certificados, revogar certificados e publicar informaes sobre
AIA e CRL. Fazendo isso, a AC garante a emisso de certificados que podem ser validados para usurios,
servios e computadores.
Uma AC executa vrias funes em uma PKI. Em uma PKI grande, comum a separao de funes
da AC entre vrios servidores. Uma AC fornece vrias tarefas de gerenciamento, inclusive:
Verificao da identidade do solicitante do certificado.
Emisso de certificados para usurios, computadores e servios solicitantes.
Gerenciamento da revogao do certificado.
Quando voc implantar a primeira AC (AC raiz) na rede, ela emitir um certificado prprio. Depois disso,
outras ACs recebem certificados da primeira AC. Tambm possvel optar por emitir um certificado para
a AC usando uma das ACs pblicas.
Viso geral da funo de servidor do AD CS no Windows Server 2012

Todos os componentes relacionados PKI so
implantados como servios de funo da funo
de servidor AD CS. A funo de servidor AD CS
possui diversos componentes conhecidos
como servios de funo. Cada servio de
funo responsvel por uma parte especfica
da infraestrutura do certificado, ao mesmo
tempo em que trabalham juntos para
formar uma soluo completa.
6-7
Os servios da funo AD CS so:
AC. Este componente emite certificados para usurios, computadores e servios. Tambm gerencia a
validade do certificado. Vrias ACs podem ser encadeadas para formar uma hierarquia de PKI.
Registro via Web na AC. Este componente fornece um mtodo para emitir e renovar certificados
para usurios, computadores e dispositivos que no esto unidos ao domnio, que no esto
conectados diretamente rede ou que so para usurios de sistemas operacionais no Windows.
Respondente Online. Use este componente para configurar e gerenciar a validao de OCSP e a
verificao de revogao. O Respondente Online decodifica o status de revogao de certificados
especficos, avalia o status desses certificados e retorna uma resposta assinada que contm as
informaes de status de certificado solicitadas. Diferentemente do Windows Server 2008 R2,
voc pode instalar o Respondente Online em qualquer verso do Windows Server 2012. Os dados
de revogao de certificado podem vir de uma CA em um computador que est executando
o Windows Server 2003, o Windows Server 2008, ou podem vir de uma CA no Microsoft.
Servio de Registro de Dispositivo de Rede. Com este componente, os roteadores, os comutadores

e outros dispositivos de rede podem obter certificados do AD CS. No Windows Server 2008 R2,
esse componente est disponvel apenas nas edies Enterprise e Datacenter, mas com
o Windows Server 2012, voc pode instalar esse servio de funo em qualquer verso.
Servio Web de Registro de Certificado. Este componente trabalha como um proxy

entre os computadores de cliente do Windows 7 e do Windows 8 e a AC. Ele novo no
Windows Server 2008 R2 e no Windows Server 2012, e requer que a floresta do Active Directory
esteja pelo menos no nvel do Windows Server 2008 R2. Ele permite que os usurios se conectem
a uma AC por meio de um navegador da Web para executar o seguinte:
Solicitar, renovar e instalar certificados emitidos.
Recuperar CRLs.
Baixar um certificado raiz.
Registrar-se pela Internet ou entre florestas (novo no Windows Server 2008 R2).
Servio Web de Poltica de Registro de Certificado. Este componente novo no Windows Server 2008
R2 e no Windows Server 2012. Ele permite que os usurios obtenham informaes sobre a poltica
de registro de certificado. Combinado com o Servio Web de Registro de Certificado, ele habilita
o registro de certificado baseado em poltica quando o computador cliente no membro
de um domnio ou quando um membro de domnio no est conectado ao domnio.
O que h de novo no AD CS do Windows Server 2012

Como muitas outras funes do Windows Server,
o AD CS foi aprimorado no Windows Server 2012.
A funo do AD CS no Windows Server 2012 ainda
tem os mesmos seis servios de funo conforme
descrito no tpico anterior. Alm disso, ele
fornece vrios novos recursos e capacidades
quando comparado com verses anteriores.
6-8
No Windows Server 2008 R2, alguns dos servios de funo do AD CS exigem uma verso
especfica do Windows Server. Por exemplo, o Servio de Registro de Dispositivo de Rede no funciona
na Windows Server 2008 Standard Edition, somente no Windows Server 2008 Enterprise Edition.
No Windows Server 2012, todos os servios de funo esto disponveis em todas as verses
do Windows Server.
A funo de servidor do AD CS, alm de todos os servios de funo mencionados, pode ser executada
no Windows Server 2012 com a GUI cheia, com a interface de servidor mnima ou em uma instalao
Server Core. Voc pode implantar os servios de funo do AD CS no Windows Server 2012 usando
o Gerenciador do Servidor ou os cmdlets do Windows PowerShell. Alm disso, possvel implantar
os servios de funo trabalhando localmente no computador ou remotamente pela rede.
Da perspectiva do gerenciamento, o AD CS, os seus eventos e a ferramenta Analisador de Prticas
Recomendadas esto agora totalmente integrados ao console do Gerenciador do Servidor, o que
significa que voc pode acessar todas as opes diretamente do Gerenciador do Servidor. O AD CS
tambm totalmente gerencivel usando a interface de linha de comando do Windows PowerShell.
A verso do Windows Server 2012 do AD CS tambm introduz uma nova verso do modelo de certificado
a verso (v4) que fornece novas funcionalidades. Isso ser discutido separadamente na Lio 3.
O Servio Web de Registro de Certificado tambm foi aprimorado no Windows Server 2012. Esse recurso,
apresentado no Windows 7 e no Windows Server 2008 R2, permite que solicitaes de certificado online
venham de domnios no confiveis do AD DS (Servios de Domnio do Active Directory) ou at mesmo
de computadores ou dispositivos que no faam parte de um domnio. No Windows Server 2012,
o AD CS adiciona a capacidade de renovar certificados automaticamente para computadores
que faam parte de domnios no confiveis do AD DS ou que no faam parte de um domnio.
Da perspectiva da segurana, o AD CS no Windows Server 2012 fornece a capacidade de solicitar a
renovao de um certificado com a mesma chave. O Windows Server 2012 tambm d suporte gerao
de chaves protegidas pelo TPM (Trusted Platform Module) usando KSPs (provedores de armazenamento
de chave) baseados no TPM. O benefcio de usar um KSP baseado no TPM a impossibilidade de
exportar chaves que tm o backup do mecanismo do TPM que bloqueia os usurios se eles inserirem
um PIN errado vrias vezes. Para melhorar ainda mais a segurana, voc pode forar a criptografia
de todas as solicitaes de certificado que vm para o AD CS no Windows Server 2012.
Cartes Inteligentes Virtuais

Os cartes inteligentes tm sido usados como uma opo para a autenticao multifator desde o sistema
operacional Microsoft Windows 2000 Server. Os cartes inteligentes fornecem segurana aprimorada
em comparao com as senhas, j que muito mais difcil para um usurio no autorizado acessar e
manter o acesso a um sistema. Alm disso, o acesso a um sistema protegido por carto inteligente
requer que um usurio tenha um carto vlido e conhea o PIN que d acesso ao carto. Por padro,
existe somente uma cpia do carto inteligente, portanto, apenas um indivduo pode usar as credenciais
de logon de cada vez. Alm disso, um usurio notar rapidamente se o carto foi perdido ou roubado,
principalmente se o carto estiver combinado com acesso fsico a portas ou outras funes. Isso reduz
significativamente o risco de roubo de credenciais em comparao a senhas.
No entanto, a implementao da infraestrutura de carto inteligente tem sido, historicamente, mais
cara. Para implementar cartes inteligentes, as empresas tiveram que comprar hardware, como os
leitores de cartes inteligentes e os cartes inteligentes. O custo disso, em alguns casos, impediu
a implantao da autenticao multifator.
6-9
Para resolver esses problemas, o AD CS do Windows Server 2012 apresenta uma tecnologia que
fornece a segurana dos cartes inteligentes ao mesmo tempo em que reduz os custos com materiais
e com suporte. Isso feito com o fornecimento de fornecendo Cartes Inteligentes Virtuais. Os Cartes
Inteligentes Virtuais emulam a funcionalidade dos cartes inteligentes tradicionais, mas em vez de
exigirem a compra de hardware adicional, eles utilizam uma tecnologia que os usurios j possuem
e qual provavelmente tm acesso todo o tempo.
Os Cartes Inteligentes Virtuais no Windows Server 2012 utilizam as funcionalidades do chip TPM que
est presente na maioria das placas-me dos computadores produzidos nos ltimos dois anos. Como o
chip j est no computador, no h nenhum custo na compra de cartes inteligentes e leitores de carto
inteligente. Contudo, diferentemente dos cartes inteligentes tradicionais, nos quais o usurio tinha a
posse fsica do carto, com o Carto Inteligente Virtual, um computador (ou para ser mais especfico,
o chip TPM em sua placa-me) age como um carto inteligente. Usando essa abordagem, obtm-se
a autenticao de dois fatores semelhante dos cartes inteligentes tradicionais. Um usurio deve ter
o seu prprio computador (configurado com o Carto Inteligente Virtual) e tambm deve saber o PIN
necessrio para usar o Carto Inteligente Virtual.
importante entender como os Cartes Inteligentes Virtuais protegem as chaves privadas. Os cartes
inteligentes tradicionais tm o um armazenamento e um mecanismo criptogrfico prprios para proteger
as chaves privadas. No cenrio do Carto Inteligente Virtual, as chaves privadas no so protegidas por
isolamento da memria fsica, mas pelas funcionalidades criptogrficas do TPM: todas as informaes
confidenciais armazenadas em um carto inteligente so criptografadas usando o TPM e, em seguida,
armazenadas no disco rgido em formato criptografado. Embora as chaves privadas sejam armazenadas
em um disco rgido (em forma criptografada), todas as operaes criptogrficas ocorrem no ambiente
seguro e isolado do TPM. As chaves privadas nunca deixam esse ambiente na forma no criptografada.
Se o disco rgido do computador for comprometido de qualquer forma, as chaves privadas no podero
ser acessadas, j que elas so protegidas e criptografadas pelo TPM. Para fornecer mais segurana,
voc tambm pode criptografar a unidade com a Criptografia de Unidade BitLocker do Windows.
Para implantar os Cartes Inteligentes Virtuais, voc precisa do AD CS do Windows Server 2012
e um computador de cliente do Windows 8 com um chip TPM na placa-me.
ACs pblicas versus ACs privadas

Quando voc estiver planejando a
implementao da PKI na sua empresa,
uma das primeiras escolhas que dever
fazer ser decidir usar ACs pblicas ou privadas.
possvel estabelecer a PKI usando qualquer
uma dessas abordagens. Se voc decidir usar
uma AC privada, implantar uma funo de
servidor do AD CS e, em seguida, estabelecer
uma PKI interna. Se voc decidir usar uma PKI
externa, no ser necessrio implantar qualquer
servio internamente.
6-10 Implementao dos Servios de Certificados do Active Directory
As duas abordagens tm vantagens e desvantagens, como especificado na tabela a seguir.

Tipo de AC
AC pblica externa
Vantagens
Desvantagens
Confivel para muitos clientes

externos (navegadores da Web,
sistemas operacionais)
Custo mais alto se comparado

a uma AC interna
Requer administrao mnima
AC privada interna
Fornece maior controle sobre o

gerenciamento de certificado
Custo reduzido se comparado
a uma AC pblica
O custo por certificado

A obteno de certificados
mais lenta
Por padro, no confivel para
clientes externos (navegadores
da Web, sistemas operacionais)
Requer mais administrao
Modelos personalizados
Registro automtico
Algumas organizaes comearam a usar uma abordagem hbrida da arquitetura de PKI. Uma abordagem
hbrida usa uma AC pblica externa como AC raiz e uma hierarquia de ACs internas para a distribuio
de certificados. Isso d s organizaes a vantagem de que seus certificados emitidos internamente
sejam confiveis para clientes externos e, ao mesmo tempo, oferece as vantagens de uma AC interna.
A nica desvantagem desse mtodo o custo. Uma abordagem hbrida normalmente a mais cara,
j que os certificados pblicos das ACs so muito caros.
Voc tambm pode implantar uma PKI interna para fins internos, como o EFS (Encrypting File System),
e assinaturas digitais. Para fins externos, como a proteo dos servidores Web e de email com SSL
(Secure Socket Layer), voc deve comprar um certificado pblico. Essa abordagem no muito
cara e, provavelmente, a soluo mais econmica.
O que hierarquia de certificao cruzada?

Como o termo indica, na hierarquia de
certificao cruzada, a AC raiz em cada hierarquia
de AC fornece um certificado da certificao
cruzada para a AC raiz em outra hierarquia de AC.
Em seguida, a outra AC raiz da hierarquia instala
o certificado fornecido. Desse modo, a confiana
flui para todas as ACs subordinadas abaixo
do nvel no qual o certificado da certificao
cruzada foi instalado.
Benefcios da certificao cruzada

Uma hierarquia de certificao cruzada fornece os seguintes benefcios:
Fornece a interoperabilidade entre empresas e entre os produtos de PKI
Une PKIs diferentes
Assume a confiana total de uma hierarquia de AC estrangeira
As empresas geralmente implantam certificaes cruzadas para estabelecer uma confiana mtua
no nvel da PKI e tambm para implementar outros aplicativos que confiam na PKI, como o AD RMS
(Active Directory Rights Management Services).
Pergunta: Sua empresa est adquirindo outra empresa. As duas empresas executam PKIs
prprias. O que voc poderia fazer para minimizar a interrupo e continuar fornecendo
servios de PKI de modo integrado?
6-11
Lio 2
Implantao de autoridades de certificao

A primeira AC que voc instalar ser uma AC raiz. Depois que voc instalar a AC raiz, poder instalar
uma AC subordinada opcionalmente para aplicar restries de poltica e distribuir certificados. Tambm
possvel usar um arquivo CAPolicy.inf para automatizar as instalaes de AC adicionais e fornecer
configuraes adicionais que no esto disponveis com a instalao baseada em GUI. Nesta lio,
voc vai aprender sobre como implantar as ACs no ambiente do Windows Server 2012.
Objetivos da lio
Descrever as opes para implementar as hierarquias de AC.
Explicar as diferenas entre as ACs autnomas e as corporativas.
Descrever as consideraes para implantar uma AC raiz.
Implantar uma AC raiz.
Descrever as consideraes para implantar uma AC subordinada.
Descrever como usar o arquivo CAPolicy.inf para a instalao da AC.
Opes para a implementao de hierarquias de AC

Quando voc decidir implementar a PKI na sua
organizao, uma das primeiras decises que
dever tomar ser o design da sua hierarquia
de AC. A hierarquia de AC determina o design
principal da sua PKI interna e tambm a finalidade
de cada AC na hierarquia. Cada hierarquia de AC
inclui duas ou mais ACs. Normalmente, a segunda
AC (e todas as outras depois dela) implantada
com uma finalidade especfica, porque apenas
a AC raiz obrigatria.
Os tpicos a seguir descrevem alguns cenrios
para a implementao de uma hierarquia de AC.
AC poltica. As ACs polticas so um tipo de AC subordinada localizada diretamente abaixo da AC

raiz em uma hierarquia de AC. As ACs polticas so usadas para emitir certificados de AC para ACs
subordinadas localizadas diretamente abaixo das ACs polticas na hierarquia. Use as ACs polticas
quando diferentes divises, setores ou locais da sua organizao necessitarem de polticas e
procedimentos de emisso diferentes.
Confiana da certificao cruzada. Neste cenrio, duas hierarquias de AC independentes interoperam

quando uma AC em uma hierarquia emite um certificado de AC na outra hierarquia. As confianas
da certificao cruzada so discutidas em mais detalhe posteriormente neste mdulo.
Hierarquia de duas camadas. Em uma hierarquia de duas camadas, h uma AC raiz e pelo menos
uma AC subordinada. Neste cenrio, a AC subordinada responsvel pelas polticas e pela emisso
de certificados a solicitantes.
6-13
ACs autnomas versus ACs corporativas

No Windows Server 2012, voc pode implantar
dois tipos de ACs: uma AC autnoma e uma AC
corporativa. Esses tipos no tratam de hierarquia,
mas de funcionalidade e armazenamento de
configurao. A diferena mais importante
entre esses dois tipos de AC a integrao
e a dependncia do Active Directory. Uma AC
autnoma pode funcionar sem o AD DS e no
depende dele. Uma AC corporativa precisa do
AD DS, mas tambm oferece vrios benefcios,
como o registro automtico.
A tabela a seguir detalha as diferenas mais
importantes entre a ACs autnomas e ACs corporativas.
Caracterstica
AC autnoma
AC corporativa
Uso tpico
Uma AC autnoma usada

normalmente para ACs offline,
mas ela pode ser usada para
uma AC que est disponvel
de forma consistente na rede.
Uma AC corporativa geralmente

usada para emitir certificados a usurios,
computadores e servios e no usada
normalmente como uma AC offline.
Dependncias do
Active Directory
Uma AC autnoma no depende

do AD DS e pode ser implantada
em ambientes no pertencentes
ao Active Directory.
Uma AC corporativa necessita do AD DS,

que pode ser usado como uma
configurao e como um banco de dados
de registro. Uma AC corporativa tambm
oferece um ponto de publicao para
certificados emitidos para usurios e
computadores.
Mtodos de
solicitao de
certificados
Os usurios s podem solicitar

certificados de uma AC autnoma
usando um procedimento manual
ou registro via Web.
Os usurios podem solicitar certificados

de uma AC corporativa usando os
seguintes mtodos:
Mtodos de
emisso de
certificados
Todas as solicitaes devem ser

aprovadas manualmente por um
administrador de certificado.
Registro manual
Registro via Web
Registro automtico
Agente de registro
As solicitaes podem ser emitidas ou

negadas automaticamente, de acordo
com a DACL (lista de controle de acesso
discricionrio) do modelo.
Geralmente, a AC raiz (que a primeira AC implantada) implantada como uma AC autnoma e fica
offline depois de emitir um certificado para ela mesma e para uma AC subordinada. Opcionalmente,
uma AC subordinada geralmente implantada como uma AC corporativa e configurada em um dos
cenrios descritos no tpico anterior.
Consideraes para a implantao de uma AC raiz

Antes de implantar uma AC raiz, h vrias
decises que voc deve tomar. Primeiro, voc
deve decidir se vai implantar uma AC raiz offline.
Com base nessa deciso, voc tambm deve
decidir se vai implantar uma AC raiz autnoma
ou uma AC raiz corporativa.
Normalmente, se voc estiver implantando
uma hierarquia de AC de uma camada
(o que significa a implantao de uma nica AC),
ser mais comum escolher a AC raiz corporativa.
No entanto, se voc estiver implantando uma
hierarquia de duas camadas, o cenrio mais
comum ser a implantao de uma AC raiz autnoma e uma AC subordinada corporativa.
O prximo fator a se considerado o tipo de instalao do sistema operacional. H suporte para
o AD CS nos cenrios de instalao completa e da instalao Server Core. A instalao Server Core
fornece uma superfcie de ataque menor e menos sobrecarga administrativa e, portanto, deve
ser considerada para o AD CS em um ambiente corporativo. No Windows Server 2012, tambm
possvel usar o Windows PowerShell para implantar e gerenciar a funo AD CS.
Voc no pode alterar os nomes dos computadores nem as associaes do domnio do computador
depois que implantar uma AC de qualquer tipo no computador. Tambm no possvel alterar
o nome do domnio. Portanto, importante determinar esses atributos antes de instalar uma AC.
A tabela a seguir detalha as consideraes adicionais.
Considerao
Um CSP (provedor de servios de
criptografia) que usado para gerar
uma nova chave
Descrio
O CSP padro o Microsoft Strong Cryptographic
Provider.
Qualquer provedor cujo nome comece com uma
cerquilha (#) um provedor de CNG (Cryptography
Next Generation).
O comprimento da chave em caracteres
O comprimento da chave padro do Microsoft Strong

Cryptographic Provider 2.048 caracteres. Esse o valor
mnimo recomendado para uma AC raiz.
O algoritmo de hash que usado para

assinar certificados emitidos por uma AC
O valor padro do algoritmo de hash SHA-1.
O perodo de validade dos certificados

emitidos por uma AC
O valor padro para certificados cinco anos.
O status do servidor raiz (online

ou offline)
O servidor raiz deve ser implantado como uma AC offline.

Isso aumenta a segurana e protege o certificado raiz
(porque ele no est disponvel para invadir a rede).
6-15
Especificamente, se voc decidir implantar uma AC raiz autnoma offline, h algumas consideraes
especficas s quais deve prestar ateno:
Antes de emitir um certificado subordinado da AC raiz, certifique-se de fornecer pelo menos um local
de CDP e AIA que vai estar disponvel para todos os clientes. Isso deve ser feito porque, geralmente,
o CDP e o AIA esto localizados na prpria AC raiz autnoma. Portanto, quando voc retirar a AC raiz
da rede, a verificao de revogao vai falhar, j que os locais CDP e AIA estaro inacessveis. Quando
voc definir esses locais, copie as informaes de CRL e AIA manualmente para esse local.
Defina um perodo de validade para as CRLs publicadas pela AC raiz para um perodo longo (por
exemplo, um ano). Isso significa que voc ter que ativar a AC raiz uma vez por ano para publicar
uma nova CRL e, depois, copi-la para um local que esteja disponvel para os clientes. Caso no faa
isso, depois que a CRL na AC raiz expirar, a verificao de revogao de todos os certificados falhar.
Use a Poltica de Grupo para publicar o certificado da AC raiz em um repositrio de autoridades de

certificao raiz em todos os computadores servidores e clientes. Voc deve fazer isso manualmente
porque uma AC autnoma no pode faz-lo de maneira automtica, diferentemente de uma AC
corporativa. Tambm possvel publicar o certificado da AC raiz no AD DS usando a ferramenta
de linha de comando Certutil.
Demonstrao: Implantao de uma AC raiz

Nesta demonstrao, voc ver como implantar uma AC raiz corporativa.
Implantar uma AC raiz
1.
No Gerenciador do Servidor, adicione a funo Servios de Certificados do Active Directory.
2.
Selecione o servio de funo Autoridade de Certificao.
3.
Depois que a instalao for concluda com sucesso, clique no texto Configurar os Servios
de Certificados do Active Directory no servidor de destino.
4.
Selecione para instalar a AC raiz corporativa.
5.
Configure o comprimento da chave como 4096.
6.
D AC o nome AdatumRootCA.
Consideraes para a implantao de uma AC subordinada

Voc pode usar uma AC subordinada para
implementar restries de poltica da PKI e para
distribuir certificados para os clientes. Depois de
instalar uma AC raiz para a organizao, voc
pode instalar uma ou mais ACs subordinadas.
Quando voc estiver usando uma AC subordinada
para distribuir certificados para usurios ou
computadores que tm uma conta em um
ambiente do AD DS, ser possvel instalar a
AC subordinada como uma AC corporativa.
Em seguida, voc pode usar os dados das contas
dos clientes no AD DS para distribuir e gerenciar
certificados e para publicar certificados do AD DS. Para concluir esse procedimento, entretanto, voc deve
ser um membro do grupo de administradores locais ou ter permisses equivalentes. Se a AC subordinada
for uma AC corporativa, voc tambm precisar ser um membro do grupo dos administradores do
domnio ou ter permisses equivalentes. Da perspectiva da segurana, um cenrio recomendado
ter uma AC raiz autnoma offline e uma AC subordinada corporativa.
Uma AC subordinada geralmente implantada para obter algumas das funcionalidades a seguir:
Uso. Voc pode emitir certificados com diversas finalidades, como S/MIME (Secure Multipurpose
Internet Mail Extensions), EFS (Encrypting File System) ou RAS (Servio de Acesso Remoto). A poltica
de emisso para esses usos pode ser diferente e a separao fornece uma base para administrar
essas polticas.
Divises organizacionais. Voc pode ter polticas diferentes para a emisso de certificados,
dependendo da funo de uma entidade na organizao. possvel criar ACs subordinadas
para separar e administrar essas polticas.
Divises geogrficas. As organizaes geralmente tm entidades em diversos sites fsicos.

A conectividade de rede limitada entre esses sites pode exigir ACs subordinadas individuais
para muitos ou todos os sites.
Balanceamento de carga. Se voc vai usar a PKI para emitir e gerenciar um grande nmero de
certificados, a existncia de apenas uma AC pode resultar em uma carga de rede considervel
para essa nica AC. O uso de vrias ACs subordinadas para emitir o mesmo tipo de certificado
divide a carga de rede entre as ACs.
Backup e tolerncia a falhas. Vrias ACs aumentam a possibilidade de que a rede sempre tenha
as ACs operacionais disponveis para responder a solicitaes do usurio.
6-17
Como usar o arquivo CAPolicy.inf na instalao

Se voc deseja implantar uma AC raiz
ou subordinada e quiser predefinir alguns
valores para uso durante a instalao e definir
alguns parmetros adicionais, poder usar o
arquivo CAPolicy.inf para concluir essas etapas.
O arquivo CAPolicy.inf um arquivo de texto
sem formatao que contm vrias configuraes
usadas durante a instalao da funo AD CS
ou durante a renovao do certificado de AC.
O arquivo CAPolicy.inf no exigido para instalar
o AD CS, mas sem ele, as configuraes padro
sero aplicadas e, em muitos casos, elas so
insuficientes. Voc pode usar o arquivo CAPolicy.inf para configurar as ACs em implantaes mais
complicadas.
Cada arquivo CAPolicy.inf dividido em sees e tem uma estrutura simples que pode ser descrita
desta forma:
Uma seo uma rea no arquivo .inf que contm um grupo lgico de chaves. Uma seo sempre
aparece entre colchetes no arquivo .inf.
Uma chave o parmetro que est esquerda do sinal de igual (=).
Um valor o parmetro que est direita do sinal de igual (=).
Por exemplo, se voc deseja especificar um ponto de Acesso s Informaes da Autoridade no arquivo
CAPolicy.inf, dever usar esta sintaxe:
[AuthorityInformationAccess]
URL=http://pki.adatum.com/CertData/adatumCA.crt
Nesse exemplo, AuthorityInformationAccess uma seo, a URL a chave

e http://pki.adatum.com/CertData/adatumCA.crt o valor.
Tambm possvel especificar algumas configuraes do servidor de AC no arquivo CAPolicy.inf.
Um exemplo da seo que especifica essas configuraes :
[certsrv_server]
RenewalKeyLength=2048
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=5
CRLPeriod=Days
CRLPeriodUnits=2
CRLDeltaPeriod=Hours
CRLDeltaPeriodUnits=4
ClockSkewMinutes=20
LoadDefaultTemplates=True
AlternateSignatureAlgorithm=0
ForceUTF8=0
EnableKeyCounting=0
Observao: Todos os parmetros dos exemplos anteriores so opcionais.
Voc tambm pode usar o arquivo CAPolicy.inf durante a instalao do AD CS para definir o seguinte:
Declarao de prtica de certificao: descreve as prticas que a AC usa para emitir certificados.
Isso inclui os tipos de certificados emitidos, as informaes necessrias emisso, renovao
e recuperao de certificados e outros detalhes sobre a configurao da AC.
OID (identificador de objeto): identifica um objeto ou um atributo especfico.
Intervalos de publicao da CRL: define o intervalo entre as publicaes da CRL base.
Configuraes de renovao da AC: define as configuraes de renovao desta forma:

o
Tamanho da chave: define o comprimento do par de chaves usado durante a renovao

da AC raiz.
Perodo de validade do certificado: define o perodo de validade do certificado de uma AC raiz.
Caminhos CDP e AIA: fornecem o caminho usado para as instalaes e renovaes da AC raiz.
Depois de criado o arquivo CAPolicy.inf, voc deve copi-lo na pasta %systemroot% do servidor
(por exemplo, C:\Windows) antes de instalar a funo AD CS ou antes de renovar o certificado de AC.
Observao: O arquivo CAPolicy.inf processado para as instalaes e renovaes da AC
raiz e da AC subordinada.
6-19
Laboratrio A: Implantao e configurao da hierarquia

de autoridades de certificao
Cenrio
Como a A. Datum Corporation expandiu, os seus requisitos de segurana tambm aumentaram.
O departamento de segurana est interessado principalmente em habilitar o acesso seguro a sites
crticos e em oferecer segurana adicional para os recursos. Para resolver esses e outros requisitos de
segurana, a A. Datum decidiu implementar uma PKI usando a funo AD CS no Windows Server 2012.
Como um dos administradores de rede snior da A. Datum, voc responsvel por implementar a
implantao do AD CS.
Objetivos
Implantar uma AC raiz autnoma
Implantar uma AC subordinada corporativa
Mquinas virtuais
24412B-LON-DC1
24412B-LON-SVR1
24412B-LON-SVR2
24412B-LON-CA1
24412B-LON-CL1
Nome de Usurio
Senha
Pa$$w0rd
1.

2.
3.
4.
5.
Senha: Pa$$w0rd
Repita as etapas 2 e 3 para 24412B-LON-SVR1, 24412B-LON-SVR2, 24412B-LON-CA1

e 24412B-LON-CL1. No entre at ser instrudo a faz-lo.
Exerccio 1: Implantao de uma AC raiz autnoma

Cenrio
A A. Datum deseja comear a usar certificados para diversas finalidades. Voc precisa instalar a
infraestrutura de AC apropriada. Como eles esto usando o Windows Server 2012 AD DS, voc decidiu
implementar a funo AD CS. Quando voc estava revisando os designs disponveis, decidiu implementar
uma AC raiz autnoma. Essa AC fica offline depois de emitir um certificado para a AC subordinada.
1.
Instalar a funo de servidor do AD CS (Servios de Certificados do Active Directory) em um servidor

associado que no pertence a um domnio.
2.
Configurar um novo local para a revogao de certificado.
3.
Criao de um registro de host DNS para LON-CA1 e configurao do compartilhamento.
Tarefa 1: Instalar a funo de servidor do AD CS (Servios de Certificados

do Active Directory) em um servidor associado que no pertence a um domnio
1.
Entre em LON-CA1 como Administrador usando a senha Pa$$w0rd.
2.
Use o Assistente de Adio de Funes e Recursos para instalar a funo Servios de Certificados
do Active Directory.
3.
Depois que a instalao for concluda com sucesso, clique no texto Configurar os Servios
4.
Configure a funo AD CS como uma AC raiz autnoma. Nomeie-a AdatumRootCA.
5.
Defina o comprimento da chave como 4096 e aceite todos os outros valores como padro.
Tarefa 2: Configurar um novo local para a revogao de certificado

1.
Em LON-CA1, abra o console de Autoridade de Certificao.
2.
Abra a caixa de dilogo Propriedades da AdatumRootCA.
3.
Configure os novos locais para CDP como http://lon-svr1.adatum.com/CertData/

<NomeCA><SufixoNomeCRL><CRLDeltaPermitida>.crl.
4.
Selecione as seguintes opes
5.
Incluir na extenso CDP de certificados emitidos
Incluir em listas de certific. revogados. Usado para encontrar listas delta
Configure os novos locais de AIA em http://lon-svr1.adatum.com/CertData/

<NomeServidorDNS>_<NomeCA><NomeCertificado>.crt
Observao: Certifique-se de que os locais de CDP e AIA sejam inseridos exatamente

conforme escrito aqui.
6.
Marque a caixa de seleo Incluir na extenso AIA de certificados emitidos.
7.
Publique a lista de certificados revogados em LON-CA1.
8.
Exporte o certificado da AC raiz e copie o arquivo .cer para \\lon-svr1\C $.
9.
Copie o contedo da pasta C:\Windows\System32\CertSrv\CertEnroll para \\lon-svr1\C$.
6-21
Tarefa 3: Criao de um registro de host DNS para LON-CA1 e configurao

do compartilhamento
1.
Em LON-DC1, abra o console do Gerenciador DNS.
2.
Crie um registro de host para o computador LON-CA1 na zona de pesquisa direta de Adatum.com.
3.
Use o endereo IP 172.16.0.40 para o registro de host de LON-CA1.
4.
No computador LON-CA1, ative o compartilhamento de arquivos e impressoras nas redes pblicas

e de convidado.
Resultados: Depois de concluir este exerccio, voc ter implantado uma AC raiz autnoma.
Exerccio 2: Implantao de uma AC subordinada corporativa

Cenrio
Depois da implantao da AC raiz autnoma, a prxima etapa implantar uma AC subordinada
corporativa. A A. Datum deseja usar uma AC subordinada corporativa para utilizar a integrao do AD DS.
Alm disso, como a AC raiz autnoma, recomendvel publicar o seu certificado para todos os clientes.
1.
Instalar e configurar o AD CS em LON-SVR1.
2.
Instalar um certificado de AC (autoridade de certificao) subordinada.
3.
Publicar o certificado da AC raiz pela Poltica de Grupo.
Tarefa 1: Instalar e configurar o AD CS em LON-SVR1

1.
Entre em LON-SVR1 como Adatum\Administrador com a senha Pa$$w0rd.
2.
Instale a funo Servios de Certificados do Active Directory em LON-SVR1. Inclua os servios

de funo Autoridade de Certificao e Registro na Web de Autoridade de Certificao.
3.
Depois que a instalao tiver sido concluda com sucesso, clique em Configurar os Servios
4.
Selecione os servios de funo Autoridade de Certificao e Registro na Web de Autoridade

de Certificao.
5.
Configure LON-SVR1 para ser uma AC Corporativa.
6.
Configure o tipo de AC para ser uma AC Subordinada.
7.
Para o Nome de Autoridade de Certificao digite Adatum-IssuingCA.
8.
Salve o arquivo de solicitao na unidade local.
Tarefa 2: Instalar um certificado de AC (autoridade de certificao) subordinada

1.
Em LON-SVR1, instale o certificado ACRaiz no repositrio de Autoridades de Certificao Confiveis.
2.
Navegue at o Disco Local (C:) e copie os arquivos AdatumRootCA.crl e LON-CA1

_AdatumRootCA.crt em C:\inetpub\wwwroot\CertData.
3.
Copie o arquivo de solicitao LON-SVR1.Adatum.com_Adatum-IssuingCA.req em \\lon-ca1\C$\.
4.
Alterne para LON-CA1.
5.
No console Autoridade de Certificao em LON-CA1, envie uma nova solicitao de certificado

usando o arquivo .req copiado na etapa 3.
6.
Emita o certificado e exporte-o para o formato p7b com cadeia completa. Salve o arquivo em
\\lon-svr1\C$\SubCA.p7b.
7.
8.
Instale o certificado da AC subordinada em LON-SVR1 usando o console da Autoridade

de Certificao.
9.
Inicie o servio.
Tarefa 3: Publicar o certificado da AC raiz pela Poltica de Grupo

1.
Em LON-DC1, no Gerenciador do Servidor, abra o GPMC (Console de Gerenciamento de Poltica

de Grupo).
2.
Edite a Default Domain Policy.
3.
Publique o arquivo RootCA.cer de \\lon-svr1\C$ no repositrio de Autoridades de Certificao

Confiveis, que est localizado em Configurao do Computador\Polticas\Configuraes do
Windows\Configuraes de Segurana\Polticas de Chave Pblica.
Resultados: Depois de concluir este exerccio, voc ter implantado e configurado uma AC subordinada
corporativa.
Para se preparar para o prximo laboratrio
Mantenha todas as mquinas virtuais ligadas para o prximo laboratrio. No reverta nenhuma
das mquinas virtuais.
6-23
Lio 3
Implantao e gerenciamento de modelos de certificados

Os modelos de certificados definem como um certificado pode ser solicitado e como ele pode ser usado.
Os modelos so configurados na AC e so armazenados no banco de dados do Active Directory. H
diferentes verses de modelos: a AC corporativa do Windows 2000 Server d suporte aos modelos de
certificado verso 1, o Windows Server 2003 Enterprise Edition d suporte aos modelos verses 1 e 2,
e o Windows Server 2008 Enterprise Edition d suporte s verses 1, 2 e 3 dos modelos de certificados.
O Windows Server 2012 apresenta os modelos verso 4, mas ele ainda d suporte s trs verses
de modelos anteriores.
Os dois tipos de categorias dos modelos de certificados so usurios e computadores, e cada uma pode
ser usada para vrias finalidades. Voc pode atribuir permisses de Controle Total, Leitura, Gravao,
Registro e Registro Automtico aos modelos de certificados. Tambm possvel atualizar os modelos
de certificados modificando o modelo de certificado original, copiando um modelo ou substituindo os
modelos de certificados existentes. Nesta lio, voc vai aprender como gerenciar e implantar modelos
de certificados.
Objetivos da lio
Descrever modelos de certificados.
Descrever verses de modelos de certificados no Windows Server 2012.
Configurar as permisses do modelo de certificado.
Definir as configuraes do modelo de certificado.
Descrever as opes para a atualizao de um modelo de certificado.
Explicar como modificar e habilitar um modelo de certificado.
O que so modelos de certificado?

Os modelos de certificados permitem que
os administradores personalizem o mtodo
de distribuio de certificados, definam
as finalidades do certificado e autorizem
o tipo de uso permitido por um certificado.
Os administradores podem criar modelos e
implant-los rapidamente na empresa usando
a GUI interna ou os utilitrios de gerenciamento
de linha de comando.
Associada a cada modelo de certificado est a
DACL, que define quais entidades de segurana
tm permisso para ler e configurar o modelo e
para fazer o registro ou o registro automtico de certificados baseados no modelo. Os modelos de
certificados e as suas permisses so definidos no AD DS e so vlidos dentro da floresta. Se mais de
uma AC corporativa estiver sendo executada na floresta do Active Directory, as alteraes de permisso
afetaro todas as ACs.
Quando voc definir um modelo de certificado, a definio do modelo de certificado dever

estar disponvel para todas as ACs na floresta. Isso realizado armazenando as informaes do
modelo de certificado no contexto de nomenclatura de configurao, em que CN=Configurao e
DC=NomeRaizdeFloresta. A replicao dessas informaes depende do agendamento da replicao
do Active Directory. O modelo de certificado poder no estar disponvel para todas as ACs at que
a replicao seja concluda. O armazenamento e a replicao so executados automaticamente.
Observao: Antes do Windows Server 2008 R2, somente o
Windows Server Enterprise Edition dava suporte ao gerenciamento de modelos
de certificados. No Windows Server 2008 R2 e no Windows Server 2012, voc tambm
pode gerenciar modelos de certificados na Standard Edition.
Verses dos modelos de certificados no Windows Server 2012

A AC na Autoridade de Certificao
do Windows Server 2012 d suporte a
quatro verses de modelos de certificados.
As verses 1, 2 e 3 dos modelos de certificados
foram herdadas das verses anteriores
do Windows Server, enquanto a verso 4
nova no Windows Server 2012.
As verses dos modelos de certificados
correspondem verso do sistema operacional
do Windows Server. O Windows 2000 Server,
o Windows Server 2003, o Windows Server 2008
e o Windows Server 2012 correspondem
respectivamente verso 1, verso 2, verso 3 e verso 4.
Alm de corresponderem a verses do sistema operacional Windows Server, as verses dos modelos
de certificados tm tambm algumas diferenas funcionais como a seguir:
O sistema operacional Windows 2000 Advanced Server d suporte verso 1 dos modelos de
certificados. A nica modificao permitida nos modelos da verso 1 a alterao das permisses
para permitir ou desaprovar o registro do modelo de certificado. Quando voc instala uma AC
corporativa, os modelos de certificados verso 1 so criados por padro. Desde 13 de julho de 2010,
a Microsoft no d mais suporte ao Windows 2000 Server.
Os sistemas operacionais Windows Server 2003 do suporte aos modelos verso 1 e 2. Voc pode
personalizar vrias configuraes nos modelos verso 2. A instalao padro fornece vrios modelos
pr-configurados para a verso 2. Voc pode adicionar modelos da verso 2 com base nos requisitos
da sua organizao. Alm disso, possvel duplicar um modelo de certificado verso 1 para criar uma
nova verso 2 do modelo. Voc pode modificar e proteger o modelo de certificado verso 2 recmcriado. Quando so acrescentados novos modelos a uma AC corporativa do Windows Server 2003,
eles so, por padro, da verso 2.
6-25
Os sistemas operacionais Windows Server 2008 Enterprise do suporte verso 3 dos novos modelos
de certificados. Alm disso, h suporte s verses 1 e 2. Os modelos de certificados verso 3 do
suporte a vrios recursos de uma AC corporativa do Windows Server 2008, como CNG. A CNG
d suporte aos algoritmos de criptografia Suite B, como a ECC (criptografia de curva elptica).
No Windows Server 2008 Enterprise, voc pode duplicar os modelos padro verses 1 e 2
para atualiz-los de acordo com a verso 3.
O Windows Server 2008 fornece dois novos modelos de certificado por padro: Autenticao
Kerberos e Assinatura de Resposta OCSP. A verso do sistema operacional Windows Server 2008 R2
tambm dava suporte aos modelos de certificados. Quando voc usa os modelos de certificado
verso 3, pode usar a criptografia CNG e os algoritmos de hash para solicitaes de certificado,
certificados emitidos e proteo das chaves privadas nos cenrios de troca e de arquivamento
de chave.
Os sistemas operacionais Windows Server 2012 do suporte aos modelos de certificado verso 4
e a todas as outras verses de edies anteriores do Windows Server. Esses modelos de certificados
esto disponveis apenas no Windows Server 2012 e no Windows 8. Para ajudar os administradores
a diferenciar quais recursos tm suporte em qual verso do sistema operacional, a guia
Compatibilidade foi adicionada guia Propriedades do modelo de certificado. Ela marca as
opes como no disponveis nas propriedades do modelo de certificado dependendo das verses
do sistema operacional da AC e do certificado do cliente. Os modelos de certificados verso 4
tambm do suporte a CSPs e a KSPs. Eles tambm podem ser configurados para exigir renovao
com a mesma chave.
A atualizao dos modelos de certificados um processo que se aplica somente a situaes nas quais
a AC tenha sido atualizada do Windows Server 2008 ou 2008 R2 para o Windows Server 2012. Aps
a atualizao, possvel atualizar os modelos de certificados iniciando o console do Gerenciador
de AC e clicando em Sim no aviso de atualizao.
Configurao das permisses do modelo de certificado

Para configurar as permisses dos modelos
de certificados, voc precisa definir a DACL na
guia Segurana de cada modelo de certificado.
As permisses atribudas a um modelo de
certificado definem quais usurios ou grupos
podem ler, modificar, registrar ou registrar
automaticamente esse modelo de certificado.
Voc pode atribuir as seguintes permisses
aos modelos de certificados:
Controle Total. A permisso Controle Total

permite que uma entidade de segurana
modifique todos os atributos de um modelo
de certificado, o que inclui as permisses do prprio modelo de certificado. Ela tambm
inclui a permisso para modificar o descritor de segurana do modelo de certificado.
Leitura. A permisso Leitura permite que um usurio ou um computador exiba o modelo

de certificado durante o registro em um certificado. A permisso Leitura tambm exigida
pelo servidor do certificado para encontrar os modelos de certificados no AD DS.
Gravao. A permisso Gravao permite que um usurio ou um computador modifique os

atributos de um modelo de certificado, o que inclui as permisses atribudas ao prprio modelo
de certificado.
Registro. A permisso Registro permite que um usurio ou um computador se registre em um

certificado com base no modelo de certificado. No entanto, para se registrar em um certificado,
voc tambm deve ter permisso de Leitura no modelo de certificado.
Registro Automtico. A permisso Registro Automtico permite que um usurio ou

um computador receba um certificado pelo processo de registro automtico. No entanto,
a permisso Registro Automtico requer que o usurio ou o computador tambm tenha
as permisses de Leitura e Registro em um modelo de certificado.
Como prtica recomendada, voc deve atribuir permisses de modelos de certificados somente a grupos
globais ou universais. Isso acontece porque os objetos dos modelos de certificados so armazenados no
contexto de nomenclatura de configurao no AD DS. Voc no pode atribuir permisses usando os
grupos locais encontrados em um domnio do Active Directory. Voc nunca deve atribuir permisses de
modelos de certificados a um usurio individual ou a contas de computadores.
Como prtica recomendada, mantenha a permisso Leitura alocada ao grupo Usurios Autenticados. Essa
alocao de permisso permite que todos os usurios e computadores exibam os modelos de certificados
no AD DS. Essa atribuio de permisso tambm permite que a AC em execuo no contexto do sistema
de uma conta de computador exiba os modelos de certificados durante a atribuio de certificados.
Configurao de modelos de certificados

Alm de definir as configuraes de segurana
dos modelos de certificados, voc tambm
pode definir vrias outras configuraes em
cada modelo. Lembre-se, no entanto, de que
o nmero de opes configurveis depende da
verso do modelo de certificado. Por exemplo,
os modelos de certificados verso 1 no permitem
a modificao de qualquer configurao com
exceo da segurana, enquanto os modelos de
certificados de verses mais recentes permitem
que voc configure a maioria das opes
disponveis.
O Windows Server 2012 oferece vrios modelos de certificados padro com finalidades que incluem
a assinatura de cdigo (para assinar digitalmente o software), EFS (para criptografar dados) e a
capacidade de os usurios fazerem logon com um carto inteligente. Para personalizar um modelo
para a sua empresa, duplique o modelo e modifique a configurao do certificado.
6-27
Por exemplo, voc pode configurar o seguinte:
Formato e contedo de um certificado com base no uso planejado do certificado
Observao: O uso planejado de um certificado pode estar relacionado aos usurios

ou aos computadores, com base nos tipos de implementao de segurana exigidos para
o uso da PKI.
Processo de criao e envio de uma solicitao de certificado vlida
Suporte a CSP
Comprimento da chave
Perodo de validade
Processo de registro ou requisitos de registro
Voc tambm pode definir a finalidade do certificado nas configuraes do certificado. Os modelos
de certificados podem ter as seguintes finalidades:
nica finalidade. Um certificado de nica finalidade tem apenas um objetivo, como permitir
que os usurios faam logon com um carto inteligente. As organizaes utilizam certificados
de finalidade nica quando a configurao do certificado difere dos outros certificados que esto
sendo implantados. Por exemplo, se todos os usurios vo receber um certificado para o logon
com carto inteligente, mas apenas dois grupos vo receber um certificado do EFS, as organizaes
geralmente mantm esses certificados e modelos separados para assegurar que os usurios recebam
apenas os certificados exigidos.
Vrias finalidades. Um certificado de vrias finalidades tem mais de uma finalidade (geralmente
no relacionadas) ao mesmo tempo. Enquanto alguns modelos (como o modelo Usurio) tm
vrias finalidades por padro, as organizaes geralmente modificam os modelos para que tenham
finalidades adicionais. Por exemplo, se uma empresa pretende emitir certificados para trs finalidades,
essas finalidades podero ser combinadas em um nico modelo de certificado para diminuir
o esforo de administrao e manuteno.
Opes para a atualizao do modelo de certificado

A hierarquia de AC da maioria das organizaes
tem um modelo de certificado para cada funo
de trabalho. Por exemplo, pode haver um modelo
de certificado para a criptografia de arquivo e
outro para a assinatura de cdigo. Alm disso,
possvel que haja alguns modelos que
abrangem funes da maioria dos grupos
comuns de entidades.
Como um administrador de TI, voc pode precisar
modificar um modelo de certificado existente
por causa de configuraes incorretas ou outros
problemas no modelo de certificado original.
Talvez seja necessrio tambm mesclar vrios modelos de certificados existentes em um nico modelo.
Voc pode atualizar um modelo de certificado modificando o modelo ou substituindo o modelo

existente:
Modificar o modelo de certificado original. Para modificar um modelo de certificado da verso 2,

3 ou 4, voc precisa fazer alteraes e aplic-las ao modelo. Depois disso, qualquer certificado
emitido por uma AC baseada nesse modelo de certificado incluir as modificaes feitas.
Substituir modelos de certificados existentes. A hierarquia de AC de uma organizao pode ter vrios
modelos de certificados que fornecem a mesma finalidade ou uma similar. Nesse cenrio, voc pode
substituir os vrios modelos de certificados usando um nico modelo de certificado. Essa substituio
pode ser feita no console Modelos de Certificados designando que um novo modelo de certificado
substitua os modelos de certificados existentes.
Demonstrao: Modificao e habilitao de um modelo de certificado

Nesta demonstrao, voc aprender como modificar e habilitar um modelo de certificado.
Modificar e habilitar um modelo de certificado
1.
Em LON-SVR1, abra o console Modelos de Certificados.
2.
Examine a lista de modelos disponveis.
3.
Abra as Propriedades do modelo de certificado IPsec e examine as configuraes disponveis.
4.
Duplique o modelo de certificado Trocar Usurio. Nomeie-o Trocar Usurio Teste1

e configure-o para substituir o modelo Trocar Usurio.
5.
Permita que os usurios autenticados se registrem no modelo Trocar Usurio Teste1.
6.
Publique o modelo em LON-SVR1.
6-29
Lio 4
Implementao da distribuio e revogao

de certificados
Uma das etapas da implantao da PKI na sua organizao ser definir os mtodos de distribuio
e registro de certificados. Alm disso, durante o processo de gerenciamento de certificado, haver
momentos em que talvez seja necessrio revogar certificados. Alguns motivos para revogar certificados
podem incluir o comprometimento de uma chave ou quando algum deixa a organizao. Voc precisa
verificar se os clientes de rede podem determinar quais certificados foram revogados antes de aceitar
as solicitaes de autenticao. Para garantir escalabilidade e alta disponibilidade, voc pode implantar
o Respondente Online do AD CS para fornecer o status de revogao do certificado. Nesta lio, voc
aprender sobre mtodos para a distribuio e revogao de certificados.
Objetivos da lio
Descrever as opes de registro de certificados.
Descrever como o registro automtico funciona.
Descrever o Agente de Registro Restrito.
Explicar como configurar o Agente de Registro Restrito.
Descrever o Servio de Registro de Dispositivo de Rede.
Explicar como funciona a revogao de certificados.
Descrever as consideraes para a publicao de AIAs e CDPs.
Descrever um Respondente Online.
Configurar o Respondente Online.
Opes de registro de certificado

No Windows Server 2012, voc pode usar vrios
mtodos para registrar um certificado de usurio
ou de computador. O uso desses mtodos
depende de cenrios especficos. Por exemplo,
provvel que voc use o registro automtico
para implantar muitos certificados para um
grande nmero de usurios ou computadores,
enquanto provavelmente usaria o registro
manual para certificados dedicados a entidades de
segurana especficas.
A lista a seguir descreve os diferentes mtodos de registro e quando us-los:
Registro automtico. Usando este mtodo, o administrador define as permisses e a configurao

de um modelo de certificado. Essas definies ajudam o solicitante a pedir, recuperar e renovar
certificados automaticamente sem interao com o usurio final. Esse mtodo usado para
computadores de domnio do AD DS. O certificado deve ser configurado para o registro
automtico por meio da Poltica de Grupo.
Registro manual. Usando esse mtodo, a chave privada e uma solicitao de certificado so geradas
em um dispositivo, como um servio Web ou um computador. A solicitao de certificado , ento,
transportada para a AC para gerar o certificado solicitado. O certificado transportado de volta
ao dispositivo para a instalao. Use esse mtodo quando o solicitante no puder se comunicar
diretamente com a AC ou se o dispositivo no der suporte ao registro automtico.
Registro via Web na AC. Usando esse mtodo, voc pode habilitar uma AC de site de modo que
os usurios possam obter certificados. Para usar um registro via Web na AC, voc deve instalar
o IIS (Internet Information Server) e a funo de registro via Web na AC do AD CS. Para obter um
certificado, o solicitante faz logon no site, seleciona o modelo de certificado apropriado e envia uma
solicitao. O certificado ser emitido automaticamente se o usurio tiver as permisses apropriadas
para se registrar no certificado. O mtodo de registro via Web na AC dever ser usado para emitir
certificados quando o registro automtico no puder ser usado. Isso pode acontecer no caso
de uma solicitao avanada de certificado. No entanto, h casos em que o registro automtico
pode ser usado para alguns certificados, mas no para todos.
Registro em nome de (agente de registro). Usando esse mtodo, um administrador de AC cria

uma conta de agente de registro para um usurio. O usurio com os direitos de agente de registro
pode registrar certificados em nome de outros usurios. Use esse mtodo, por exemplo, se precisar
permitir que um gerenciador pr-carregue certificados de logon de novos funcionrios em cartes
inteligentes.
Como funciona o registro automtico?

Um dos mtodos mais comuns para implantar
certificados em um ambiente do Active Directory
o registro automtico. Esse mtodo fornece um
modo automatizado de implantar os certificados
em usurios e em computadores dentro da PKI.
Voc pode usar os ambientes de registro
automtico que satisfazem os requisitos
especficos, como o uso de modelos de
certificados e Poltica de Grupo no AD DS.
No entanto, importante observar que voc
no pode usar o registro automtico com uma
AC autnoma. Voc deve ter uma AC corporativa
disponvel para utilizar o registro automtico.
Voc pode usar autoenrollment para implantar key.based pblico automaticamente certifica aos usurios
e computadores em uma organizao. O administrador dos Servios de certificado duplica um modelo de
certificado e configura as permisses para permitir as permisses Registro e Registro Automtico dos
usurios que recebero os certificados. Polticas de Grupo baseadas em domnio, como polticas baseadas
em computadores e usurios, podem ativar e gerenciar o registro automtico.
6-31
Por padro, a Poltica de Grupo aplicada quando se reinicia os computadores ou no logon de usurios.
Tambm por padro, a Poltica de Grupo atualizada a cada 90 minutos em membros do domnio. A essa
configurao da Poltica de Grupo dado o nome de Cliente dos Servios de Certificado - Registro
Automtico.
Um temporizador interno dispara o registro automtico a cada oito horas depois da ltima ativao do
registro automtico. O modelo de certificado pode especificar a interao de usurios de cada solicitao.
Para tal atualizao, uma janela pop-up aparece aproximadamente 60 segundos depois que o usurio
fizer logon.
Muitos certificados podem ser distribudos sem o cliente sequer perceber que o registro est sendo
executado. Eles incluem a maioria dos tipos de certificados que so emitidos para computadores
e servios, alm de muitos dos certificados emitidos para usurios.
Para registrar os clientes automaticamente em certificados de um ambiente de domnio, voc deve:
Ser membro dos Administradores do domnio ou da empresa (ou equivalente), esse o mnimo
exigido para concluir esse procedimento.
Configurar um modelo de certificado com permisses de Registro Automtico.
Configurar uma poltica de registro automtico para o domnio.
O que mobilidade de credenciais?

A mobilidade de credenciais permite que as organizaes armazenem certificados e chaves privadas
no AD DS, separadamente do estado do aplicativo ou das informaes de configurao. A mobilidade
de credenciais usa logons existentes e mecanismos de registro automtico baixar certificados e chaves
para um computador local sempre que um usurio fizer logon e, se desejado, remov-los quando o
usurio fizer logoff. Alm disso, a integridade dessas credenciais mantida sob quaisquer condies,
como quando os certificados so atualizados, ou quando os usurios fazem logon em mais de um
computador ao mesmo tempo. Isso evita o cenrio em que um usurio faz o registro automtico
de um certificado em cada novo computador em que faz logon.
A mobilidade de credenciais disparada sempre que uma chave privada ou um certificado no repositrio
local do usurio for alterado, quando o usurio bloquear ou desbloquear o computador e quando
a Poltica de Grupo for alterada.
Todas as comunicaes relacionadas aos certificados entre os componentes do computador local e entre
o computador local e o AD DS so assinadas e criptografadas. A mobilidade de credenciais tem suporte
no Windows 7 e nos sistemas operacionais mais recentes do Windows.
O que o agente de registro restrito?

Em verses anteriores da AC do Windows Server,
como o Windows Server 2003, no possvel
permitir que um agente de registro registrem
apenas um certo grupo de usurios. Como
resultado, todo usurio com um certificado
de agente de registro pode se registrar em
nome qualquer usurio em uma organizao.
O agente de registro restrito uma funcionalidade que foi apresentada no sistema operacional do
Windows Server 2008 Enterprise. Essa funcionalidade permite que voc limite as permisses para usurios
designados como agentes de registro se registrem em certificados de carto inteligente em nome de
outros usurios.
Normalmente, um ou mais indivduos autorizados dentro de uma organizao so designados como
agentes de registro. O agente de registro precisa receber um certificado de agente de registro que
permite que ele se registre em certificados de carto inteligente em nome de usurios. Os agentes de
registro normalmente so membros de segurana corporativa, segurana de TI ou equipes de suporte
tcnico, j que a eles j foi confiada a proteo de recursos valiosos. Em algumas organizaes, como os
bancos que tm muitas ramificaes, os funcionrios do suporte tcnico e de segurana podem no estar
bem localizados para executar essa tarefa. Nesse caso, necessrio designar um gerente de filial ou outro
funcionrio de confiana para agir como um agente de registro para habilitar as credenciais de carto
inteligente a serem emitidas de vrios locais.
Em uma AC do Windows Server 2012, os recursos do agente de registro restrito permitem que um agente
de registro seja usado para um ou mais modelos de certificados. Para cada modelo de certificado, voc
pode escolher em nome dos usurios ou grupos de segurana que o agente d registro pode registrar.
Voc no pode restringir um agente de registro com base em uma determinada OU (unidade
organizacional) ou continer do Active Directory, em vez disso, voc deve usar grupos de segurana.
Observao: O uso dos agentes de registros afetar o desempenho da AC. Para otimizar
o desempenho, voc deve minimizar o nmero de contas que so listadas como agentes de
registro. Voc minimiza o nmero de contas na lista de permisses do agente de registro.
Como prtica recomendada, use contas de grupo nas duas listas em vez de contas de usurio
individuais.
Demonstrao: Configurao de um agente de registro restrito

Nesta demonstrao, voc ver como configurar o agente de registro restrito.
Configurar o Agente de Registro Restrito
1.
2.
Configure Allie Bellew com permisses para se registrar em um certificado de agente de registro.
3.
Publique o modelo de certificado do agente de registro.
4.
Entre em LON-CL1 como Adatum\Allie com a senha Pa$$w0rd.
5.
Abra um MMC (Console de Gerenciamento Microsoft) e adicione o snap-in de certificados.
6.
Solicite o certificado do agente restrito.
7.
Alterne para LON-SVR1 e abra as propriedades de AdatumRootCA.
8.
Configure o agente de registro restrito de modo que Allie somente possa emitir certificados baseados
no modelo do Usurio e somente para o grupo de segurana de Marketing.
6-33
O que servio de registro de dispositivo de rede?

O NDES (Servio de Registro de Dispositivo de
Rede) a implementao pela Microsoft do SCEP
(Simple Certificate Enrollment Protocol). O SCEP
um protocolo de comunicao torna possvel
o registro de software que est sendo executado
em dispositivos de rede como roteadores e
comutadores (e que no pode ser autenticado
de outro modo na rede) em certificados X.509
de uma AC.
Voc pode usar o NDES como um ISAPI
(Internet Server API) no IIS para executar
as seguintes funes:
Criar e fornecer senhas de registro nico para administradores.
Recuperar solicitaes em espera da AC.
Coletar e processar as solicitaes de registro do SCEP do software executado em dispositivos

de rede.
Esse recurso se aplica a organizaes que tm PKIs com um ou mais ACs baseadas no
Windows Server 2012 e que desejam aprimorar a segurana dos seus dispositivos de rede. A segurana
de porta, baseada em 802.1x, requer que os certificados sejam instalados nos comutadores e nos pontos
de acesso. SSH (Secure Shell), em vez de Telnet, requer um certificado no roteador, no comutador ou
no ponto de acesso. NDES o servio que permite que os administradores instalem certificados em
dispositivos que usam SCEP.
Adicionar o suporte do NDES pode aprimorar a flexibilidade e a escalabilidade da PKI de uma
organizao. Portanto, esse recurso deve interessar aos arquitetos, planejadores e administradores de PKI.
Antes de instalar o NDES, voc deve decidir:
Se voc vai configurar uma conta de usurio dedicada para o servio ou se vai usar uma conta
do servio de rede.
O nome da autoridade de registro do NDES e que pas/regio usar. Essa informao est includa
em qualquer certificado SCEP emitido.
O CSP que deve ser usado para a chave de assinatura que usada para criptografar a comunicao
entre a AC e a autoridade de registro.
O CSP que deve ser usado para a chave de criptografia que usada para criptografar a comunicao
entre a autoridade de registro e o dispositivo de rede.
O comprimento de cada uma dessas chaves.
Alm disso, voc precisa criar e configurar os modelos de certificados para os certificados que so usados
junto com o NDES.
Instalar o NDES em um computador cria uma nova autoridade de registro e exclui quaisquer certificados
de autoridade de registro preexistentes no computador. Portanto, se voc planeja instalar o NDES em
um computador onde outra autoridade de registro j foi configurada, qualquer solicitao de certificado
pendente deve ser processada e qualquer certificado no solicitado deve ser solicitado antes de instalar
o NDES.
Como funciona a revogao de certificado?

A revogao o processo no qual voc
desabilita a validade de um ou mais certificados.
Ao iniciar o processo de revogao, voc publica
uma impresso digital de certificado no CRL
correspondente.
Uma viso geral do ciclo de vida de revogao
do certificado esboada a seguir:
Um certificado revogado do snap-in do

MMC da AC. Durante a revogao, um cdigo
de motivo, a data e a hora so especificados.
Isso opcional, mas recomendado.
O CRL publicado usando o snap-in do MMC da AC (ou a lista de certificados revogados agendada
publicada automaticamente baseada no valor configurado). Os CRLs podem ser publicado no AD DS,
em algum local de pasta compartilhada ou em um site.
Quando os computadores clientes do Windows recebem um certificado, eles usam um processo para
verificar o status de revogao consultando a AC emissora. Esse processo determina se o certificado
revogado, e apresenta, ento, as informaes ao aplicativo que solicita a verificao. O computador
cliente do Windows usa um dos locais da CRL especificados no certificado para a verificar sua
validade.
Os sistemas operacionais do Windows incluem um CryptoAPI, que responsvel pela revogao de

certificados e pelos processos de verificao de status. O CryptoAPI utiliza as seguintes fases no processo
de verificao do certificado:
Descoberta de certificado. A descoberta de certificado coleta certificados de AC, informaes AIA

em certificados emitidos e detalhes sobre o processo de registro do certificado.
Validao de caminho. A validao de caminho o processo de verificao de certificado por meio

da cadeia da AC (ou caminho) at que o certificado da AC raiz seja alcanado.
Verificao de revogao. Cada certificado na cadeia de certificados verificado para assegurar

que nenhum dos certificados seja revogado.
Recuperao de rede e cache. A recuperao de Rede executada usando o OCSP. O CryptoAPI

responsvel pela verificao do cache local para obter informaes de revogao, e caso no haja
correspondncia, ele faz uma chamada usando o OCSP, que baseado na URL fornecida pelo
certificado emitido.
6-35
Consideraes para a publicao de AIAs e CDPs

Quando voc estiver gerenciando e emitindo
certificados, importante que voc configure
corretamente as extenses de certificado usadas
para verificar o certificado da AC e o certificado
que est sendo usado pelo usurio. Essas
extenses (AIA e CDP) so parte de cada
certificado. Eles devem apontar para locais
adequados ou a PKI pode no funcionar
corretamente.
O que AIA?
Endereos de AIA so as URLs nos certificados
que uma AC emite. Esses endereos dizem ao
verificador de um certificado onde recuperar o certificado da AC. As URLs de acesso AIA podem ser
o HTTP, protocolo FTP, protocolo LDAP ou endereos de ARQUIVO.
O que CDP?
CDP uma extenso de certificado que indica onde a lista de certificados revogados de uma AC pode
ser recuperada. Pode no conter nenhum, um ou muitos HTTP, ARQUIVO ou URLs LDAP.
Publicao de AIA e CDP

Se voc usar apenas uma AC online, esses valores sero configurados localmente na AC por padro. No
entanto, se voc deseja implantar uma AC raiz offline ou se voc quiser publicar AIA e CDP em um local
voltado para a internet, voc deve configurar novamente esse valores de modo que eles se apliquem a
todos os certificados emitidos pela AC raiz. As extenses AIA e CDP definem onde os aplicativos clientes
podem localizar as informaes AIA e CDP da AC raiz. A formao e publicao de URLs de extenso AIA
e CDP , geralmente, a mesma para ACs raiz e subordinadas. Voc pode publicar o certificado da AC raiz
e a CRL nos seguintes locais:
AD DS
Servidores Web
Servidores de FTP
Servidores de arquivos
Pontos de publicao
Para assegurar a acessibilidade a todos os computadores na floresta, publique o certificado da AC raiz
offline e a CRL da AC raiz offline do AD DS usando o comando Certutil. Isso coloca o certificado da AC
raiz e a CRL no contexto de nomenclatura de configurao, que o Active Directory reproduz em todos
os controladores de domnio na floresta.
Para computadores que no so os membros de um domnio do AD DS, coloque o certificado de AC
e a CRL nos servidores Web usando o protocolo HTTP. Localize os servidores Web na rede interna, e na
rede externa se os computadores cliente externos (ou clientes internos de redes externas) exigirem acesso.
Isso muito importante se voc estiver usando certificados emitidos internamente fora de sua empresa.
Voc tambm pode publicar certificados e CRLs em ftp:// e FILE:// URLs, mas recomendado que voc
use apenas URLs LDAP e HTTP porque elas so formatos de URL com suporte mais amplo para finalidades
de interoperabilidade. A ordem na qual voc lista as extenses de CDP e AIA importante porque o
mecanismo do encadeamento de certificado pesquisa as URLs em sequncia. Se os seus certificados
forem usados mais usados internamente, coloque primeiro a URL LDAP na lista.
O que um respondente online?

Usando o OCSP, um respondente online fornece
aos clientes um modo eficiente de determinar
o status de revogao de um certificado. OCSP
envia solicitaes de status de certificado
usando o HTTP.
Os clientes acessam as CRLs para determinar
o status de revogao de um certificado.
As CRLs podem ser grandes e os clientes podem
utilizar uma quantidade grande de tempo para
pesquisar essas CRLs. Um respondente online
pode pesquisar essas CRLs dinamicamente para
os clientes e responder somente ao certificado
solicitado.
Voc pode usar um nico respondente online para determinar as informaes do status de revogao
para os certificados emitidos por uma nica AC ou por vrias ACs. No entanto, voc pode usar mais
que um respondente online para distribuir informaes de revogao de AC.
Voc pode instalar um respondente online em qualquer computador que execute
o Windows Server 2008 Enterprise ou o Windows Server 2012. Voc deve instalar um respondente
online e uma AC em computadores diferentes.
Os sistemas operacionais a seguir podem usar o respondente online para a validao do status
de certificado:
Windows Server 2008
Windows Server 2012
Windows Vista
Windows 7
Windows 8
6-37
Para a escalabilidade e a alta disponibilidade, voc pode implantar o respondente online em uma matriz
com carga equilibrada que usa NLB (Balanceamento de Carga de Rede) que processe solicitaes de
status de certificado. Voc pode monitorar e gerenciar cada membro da matriz independentemente.
Para configurar o respondente online, voc deve usar o console de gerenciamento do respondente
online.
Voc deve configurar as ACs para incluir a URL do respondente online na extenso de AIA dos certificados
emitidos. O cliente de OCSP usa essa URL para validar o status de certificado. Voc tambm tem que
emitir o modelo de certificado da Assinatura de Resposta OCSP de modo que o respondente online
tambm possa registrar nesse certificado.
Como instalar e configurar o respondente online

Voc pode instalar os respondentes online em computadores que esto executando o
Windows Server 2008 R2 ou o Windows Server 2012. Voc deve instalar os respondentes online
depois das ACs, mas antes de emitir qualquer certificado de cliente. Os dados de revogao de
certificado so derivados de uma CRL publicada. As CRL publicadas podem vir de uma AC em um
computador que est executando o Windows Server 2008 ou mais recente ou o Windows Server 2003,
ou de uma AC no Microsoft.
Antes de configurar uma AC para dar suporte ao servio de respondente online servio, o seguinte
deve ser feito:
O IIS deve ser instalado no computador durante a instalao do respondente online. Quando voc
instalar um respondente online, a configurao correta do IIS do respondente online instalada
automaticamente.
Um modelo certificado de autenticao da Assinatura de Resposta OCSP deve ser configurado

na AC e o registro automtico usado para emitir um certificado da Assinatura de Resposta OCSP
para o computador no qual o respondente online ser instalado.
A URL do respondente online deve ser includa na extenso de AIA dos certificados emitidos pela
AC. Essa URL usada pelo cliente do respondente online para validar o status do certificado.
Depois que um respondente online tiver sido instalado, voc precisa criar uma configurao
de revogao para cada AC e certificado de AC que servida por um respondente online. Uma
configurao de revogao inclui todas as configuraes que devem responder a solicitaes
de status relativas a certificados que foram emitidos usando uma AC chave especfica. Incluem:
Certificado de AC. Esse certificado pode ser localizado em um controlador de domnio,

no repositrio de certificados local, ou pode ser importado de um arquivo.
Certificado de autenticao do respondente online. Esse certificado pode ser selecionado

automaticamente para voc, selecionado manualmente (que envolve uma etapa de importao
separada depois que voc adicionar a configurao de revogao) ou voc pode usar o certificado
de AC selecionado.
Provedor de revogao. O provedor de revogao fornecer os dados de revogao usados por

essa configurao. Essas informaes so inseridas como uma ou mais URLs onde a base vlida
e CRLs deltas podem ser obtidos.
Demonstrao: Configurao de um respondente online

Nesta demonstrao, voc pode ver como configurar um respondente online.
Configurar um respondente online
1.
Em LON-SVR1, use o Gerenciador do Servidor para adicionar um servio de funo do respondente

online funo do AD CS existente.
2.
Configure uma nova distribuio local de AIA em AdatumRootCA como http://lon-svr1/ocsp.
3.
Em AdatumRootCA, publique o modelo de certificado de autenticao da Resposta OCSP e permita

que os usurios autenticados se registrem.
4.
Abra o console de gerenciamento do respondente online.
5.
Adicione a configurao de revogao da AdatumRootCA.
6.
Registre-se em um certificado de autenticao da Resposta OCSP.
7.
Verifique se o status de configurao de revogao aparece como em execuo.
6-39
Lio 5
Gerenciamento da recuperao de certificados

Durante o ciclo de vida do certificado, a recuperao do certificado ou da chave uma das tarefas de
gerenciamento mais importantes. Se voc perder as chaves pblicas e privadas, usar um arquivamento
de chave e um agente de recuperao para a recuperao de dados. Voc tambm pode usar o
arquivamento de chave automtico ou manual e mtodos de recuperao de chave para garantir
o acesso aos dados em caso de perda das chaves. Nesta lio, voc aprender como gerenciar
o arquivamento de chave e recuperao no AD CS do Windows Server 2012.
Objetivos da lio
Descrever o processo de arquivamento de chave e recuperao.
Configurar o arquivamento de chave automtico.
Configurar a AC do arquivamento de chave.
Explicar a recuperao de chave.
Recuperar uma chave privada perdida.
Viso geral de arquivamento de chave e recuperao

Se voc perder as chaves pblica e privada,
no poder acessar qualquer dado que estiver
criptografado usando a chave pblica do
certificado. Esses dados podem incluir EFS e
extenses S/MIME. Portanto, o arquivamento
e a recuperao de chaves pblicas e privadas
importante.
Condies para perder as chaves

Voc pode perder os pares de chaves devido
s seguintes condies:
O perfil de usurio excludo ou danificado.

Um CSP faz criptografia de uma chave privada e armazena a chave privada criptografada no sistema
de arquivos local e no registro da pasta perfil do usurio. A excluso ou o dano do status do perfil
resultam na perda do material da chave privada.
O sistema operacional instalado novamente. Quando voc reinstalar o sistema operacional,

as instalaes anteriores dos perfis do usurio so perdidas, inclusive o material da chave privada.
O disco est danificado. Se o disco rgido for danificado e o perfil do usurio no estiver disponvel,
o material da chave privada perdido automaticamente.
O computador roubado. Se o computador de um usurio for roubado, o perfil do usurio

com o material da chave privada no estar disponvel.
Arquivamento de chave e agentes de recuperao

Voc usa o arquivamento de chave e Chave Agentes de recuperao (KRA) para recuperao de dados.
Voc pode garantir que os administradores da AC possam recuperar as chave privadas arquivando-as.
So designados usurios aos KRAs que podem recuperar o certificado original, a chave privada e a
chave pblica que foram usados para criptografar os dados do banco de dados de AC. Um modelo
de certificado especfico aplicado a um KRA. Quando voc habilitar o arquivamento de chave em um
modelo de certificado verso 2, a AC criptografa e armazena essa chave privada em seu banco de dados.
Em situaes onde a AC armazenou a chave privada da entidade no banco de dados de AC, voc pode
usar a recuperao de chave para recuperar uma chave corrompida ou perdida.
Durante o processo de recuperao da chave, o gerenciador do certificado recupera o arquivo
criptografado que contm o certificado e a chave privada do banco de dados de AC. Em seguida,
um KRA descriptografa a chave privada do arquivo criptografado e devolve o certificado e a chave
privada para o usurio.
Segurana do arquivamento de chave

Quando voc tiver configurado uma AC para emitir um certificado KRA, qualquer usurio com permisso
Leitura e Registro no modelo de certificado KRA pode se registrar e se tornar um KRA. Como resultado,
os administradores do domnio e os administradores corporativos recebem permisso por padro.
No entanto, voc deve garantir o seguinte:
Somente os usurios confiveis tm permisso para se registrar nesse certificado.
A chave de recuperao de KRA armazenada de uma maneira segura.
O servidor onde as chaves so arquivadas est em um local separado e fisicamente seguro.
Noes bsicas de arquivamento de chave e recuperao

A recuperao de chave implica que a parte privada de um par de chaves pblico-privado pode ser
arquivada e recuperada. A recuperao da chave privada no recupera quaisquer dados ou mensagens.
Ela permite que um usurio recupere chaves perdidas ou danificadas ou que um administrador assuma
a funo de usurio para acessar os dados ou finalidades de recuperao de dados. Em muitos aplicativos,
a recuperao de dados no pode acontecer sem a execuo da recuperao da chave.
O procedimento de recuperao da chave o seguinte:
1.
O usurio solicita um certificado de uma AC e fornece uma cpia da chave privada como parte da
solicitao. A AC que est processando a solicitao arquiva a chave privada criptografada no banco
de dados de AC e emite um certificado para o usurio solicitante.
2.
O certificado emitido pode ser usado por um aplicativo como EFS para criptografar arquivos
confidenciais.
3.
Se em algum momento a chave privada for perdida ou danificada, o usurio pode entrar em contato
com o Gerenciador de Certificados da empresa para recuperar a chave privada. O Gerenciador de
Certificados, com a ajuda do KRA, recupera a chave privada, armazena-a em um formato de arquivo
protegido e a manda de volta para o usurio.
4.
Depois que o usurio armazenar a chave privada recuperada no repositrio de chaves local do
usurio, ela pode ser usada de novo por um aplicativo como o EFS para descriptografar arquivos
previamente criptografados ou criptografar novos arquivos.
6-41
Configurao do arquivamento de chave automtico

Antes de poder usar o arquivamento de chave,
voc deve executar vrias etapas de configurao.
O recurso de arquivamento de chave no
habilitado por padro e voc deve configurar
a AC e os modelos de certificados para o
arquivamento de chave e a recuperao de chave.
As etapas a seguir descrevem o processo
de arquivamento de chave automtico:
1.
Configurar o modelo de certificado KRA.

Somente os administradores de empresa
ou domnio tm permisso para solicitar
um certificado KRA. Se voc desejar registrar
algum outro usurio com um certificado KRA, voc deve especific-lo no modelo de DACL.
2.
Configurar os Gerenciadores de Certificado.
3.
a.
A AC impe uma pessoa para ser o Gerenciador de Certificados, se definido. O Gerenciador

de Certificados normalmente tem uma chave privada para certificados KRA vlidos. Por padro,
o administrador de AC um Gerenciador de Certificados para todos os usurios, com exceo
de casos com outra definio explcita. No entanto, como uma prtica recomendada, voc deve
separar essas duas funes, se possvel.
b.
Um responsvel pela AC definido como um Gerenciador de Certificados. Esse usurio tem

a permisso de segurana para emitir e gerenciar certificados. As permisses de segurana
so configuradas em uma AC na Autoridade de Certificao do snap-in do MMC na caixa
de dilogo Propriedades de AC da guia Segurana.
c.
Um KRA no necessariamente um responsvel pela AC ou um Gerenciador de Certificados.

Essas funes podem ser segmentadas como funes separadas. Um KRA uma pessoa que
tem uma chave privada para um certificado KRA vlido.
Habilitar o KRA.
a.
Faa logon como Administrador do servidor, ou como Administrador de AC caso a separao

de funo esteja habilitada.
b.
No console de AC, clique com o boto direito no nome da AC e clique em Propriedades.

Para habilitar o arquivamento de chave, na guia Agentes de Recuperao, clique em
Arquivar a chave.
c.
Por padro, a AC usa um KRA. No entanto, voc deve selecionar primeiro o certificado KRA
para que a AC comece o arquivamento clicando em Adicionar.
4.
d.
O sistema localiza o certificado KRA vlido e exibe os certificados KRA disponveis. Esses
geralmente so publicados no AD DS por uma AC corporativa durante o registro. Os certificados
KRA so armazenados no continer de KRA na ramificao dos Servios de chave pblica da
partio de configurao no AD DS. Como a AC emite vrios certificados KRA, cada um desses
certificados ser adicionado ao atributo de usurio de mltiplos valores do objeto CA.
e.
Selecione um certificado e clique em OK. Verifique se voc selecionou o certificado pretendido.
f.
Depois que voc tiver adicionado um ou mais certificados KRA, clique em OK. Os certificados
KRA so processados somente no incio do servio.
Configurar modelos de usurios.

a.
No MMC dos Modelos de Certificados, clique com o boto direito do mouse no modelo
de arquivamento da chave e clique em Propriedades.
b.
Para impor o arquivamento de chave da AC, na caixa de dilogo Propriedades, na

guia Tratamento de Solicitao, marque a caixa de seleo Arquivar chave privada
de criptografia de requerente. No Windows Server 2008 ou em ACs mais recentes,
selecione a opo Usar algoritmo simtrico avanado para enviar a chave AC.
Demonstrao: Configurao da AC do arquivamento de chave

Nesta demonstrao, voc ver como configurar uma AC para arquivamento de chave.
Configurar o arquivamento de chave automtico
1.
Configure adatumRootCA para emitir certificados de agentes de recuperao de chave sem

aprovao.
2.
Registre o administrador do certificado do agente de recuperao de chave.
3.
Configure adatumRootCA para usar o certificado registrado na etapa 2 como agente de recuperao
de chave.
4.
Configure o modelo de certificado Trocar usurio Teste 1 modelo de certificado para permitir
arquivamento de chave.
5.
Configure adatumRootCA para permitir o arquivamento de chave.
6-43
Recuperao de uma chave perdida

A recuperao de chave consiste em vrias
etapas e voc deve seguir o procedimento
estritamente para recuperar as chaves arquivadas.
O procedimento de recuperao de chave
o seguinte:
1.
Localize os candidatos de recuperao.

Voc necessitar de duas informaes
para executar a recuperao de chave.
Primeiro, o Gerenciador de Certificados
ou o administrador de AC localiza a entrada
do certificado correta no banco de dados
de AC. Em seguida, o Gerenciador de
Certificados ou o administrador de AC obtm o nmero de srie da entrada do certificado correta
e o certificado KRA necessrio para a recuperao da chave.
2.
Recupere o blob PKCS #7 do banco de dados. Essa a primeira metade da etapa de recuperao de
chave. Um Gerenciador de Certificados ou um administrador de AC recupera o blob correto do banco
de dados de AC. O certificado e a chave privada criptografada a serem recuperados esto presentes
no blob PKCS #7. A chave privada criptografada junto com a chave pblica de um ou mais KRAs.
3.
Recupere o material da chave e salve no PKCS #12 (.pfx). Essa a segunda metade da etapa de
recuperao de chave. O proprietrio de um das chave privadas de KRA descriptografa a chave
privada a ser recuperada. O proprietrio tambm gera um arquivo .pfx protegido por senha que
contm o certificado e a chave privada.
Importar as chaves recuperadas. O arquivo .pfx protegido por senha entregue ao usurio final. Esse
usurio importa o arquivo .pfx para o repositrio de certificados do usurio local. Como alternativa,
o KRA ou um administrador podem executar essa parte do procedimento em nome do usurio.
Demonstrao: Recuperao de uma chave privada perdida (opcional)

Nesta demonstrao, voc ver como recuperar uma chave privada perdida.
Recuperar uma chave privada perdida
1.
Registre o administrador do certificado Trocar usurio Teste1.
2.
Exclua o certificado do repositrio pessoal do administrador para simular a perda da chave.
3.
Em LON-SVR1, no console de AC, recupere o nmero de srie do certificado perdido.

Use o comando Certutil -getkey <nmerodesrie> outputblob para gerar o arquivo blob.
Use o comando Certutil -recoverkey outputblob recover.pfx para recuperar a chave
privada.
4.
Importe a chave privada de volta para o repositrio pessoal do administrador.
Laboratrio B: Implantao e gerenciamento

de certificados
Cenrio
Como a A. Datum Corporation expandiu, os seus requisitos de segurana tambm aumentaram.
O departamento de segurana est interessado particularmente em habilitar o acesso seguro a sites
crticos, e a fornecer segurana adicional para recursos como EFS, cartes inteligentes e o recurso
DirectAccess do Windows 7 e do Windows 8. Para resolver esses e outros requisitos de segurana,
a A. Datum decidiu implementar uma PKI usando a funo AD CS no Windows Server 2012.
Como um dos administradores de rede snior da A. Datum, voc responsvel por implementar
a implantao do AD CS. Voc vai implantar a hierarquia de AC, desenvolver os procedimentos
e processos de gerenciamento dos modelos de certificados, implantar e revogar certificados.
Objetivos
Configurar os modelos de certificados.
Configurar o registro do certificado.
Configurar a revogao do certificado.
Configurar e executar o arquivamento e recuperao de chave privada.
Mquinas virtuais
24412B-LON-DC1
24412B-LON-SVR1
24412B-LON-SVR2
24412B-LON-CA1
24412B-LON-CL1
Nome de Usurio
Senha
Pa$$w0rd
Neste laboratrio, voc usar o ambiente de mquina virtual disponvel. Todas as mquinas virtuais
necessrias para esse laboratrio devem estar funcionando desde o laboratrio anterior.
Exerccio 1: Configurao de modelos de certificados

Cenrio
Depois de implantar a infraestrutura de AC, a prxima etapa implantar os modelos de certificados que
so necessrios na organizao. Primeiro, A. Datum deseja implementar um novo certificado de servidor
Web e implementar certificados de carto inteligente para usurios. Eles tambm desejam implementar
novos certificados no servidor Web de LON-SVR2.
1.
Criar um novo modelo baseado no modelo do servidor Web.
2.
Criao de um novo modelo para usurios que inclui o logon do carto inteligente.
3.
Configure os modelos para que eles possam ser emitidos.
4.
Atualize o certificado de servidor Web no servidor Web LON-SVR2.
6-45
Tarefa 1: Criar um novo modelo baseado no modelo do servidor Web

1.
Em LON-SVR1, no console Autoridade de Certificao, abra o console Modelos de Certificado.
2.
Duplique o modelo do Servidor Web.
3.
Crie um novo modelo e nomeie-o Servidor Web Adatum.
4.
Configure a validade para 3 anos.
5.
Configure a chave privada como exportvel.
Tarefa 2: Criao de um novo modelo para usurios que inclui o logon do carto
inteligente
1.
No console Modelos de Certificados, duplique o modelo de certificado Usurio.
2.
Nomeie o novo modelo Usurio de Carto Inteligente Adatum.
3.
Na guia Nome da entidade, desmarque as caixas de seleo Incluir nome de email no nome
da entidade e Nome de email.
4.
Adicione o Logon do carto inteligente nas Polticas de aplicativo do novo modelo de certificado.
5.
Configure esse novo modelo para substituir o modelo Usurio.
6.
Permita que os usurios autenticados faam Leitura, Registro e Registro Automtico

desse certificado.
7.
Feche o console Modelos de Certificados.
Tarefa 3: Configure os modelos para que eles possam ser emitidos
Configure LON-SVR1 para emitir certificados com base nos modelos Usurio de Carto Inteligente
Adatum e Servidor Web Adatum.
Tarefa 4: Atualize o certificado de servidor Web no servidor Web LON-SVR2

1.
Entre em LON-SVR2 como Adatum\Administrador com a senha Pa$$w0rd.
2.
Atualize a Poltica de Grupo e reinicie o servidor, se necessrio.
3.
No Gerenciador do Servidor, abra o Gerenciador do IIS (Servios de informaes da internet).
4.
Registre-se em um certificado de domnio usando os seguintes parmetros:
5.
Nome comum: lon-svr2.adatum.com
Organizao: Adatum
Unidade Organizacional: IT
Cidade/localidade: Seattle
Estado/provncia: WA
Pas/regio: US
Nome amigvel: lon-svr2
Crie a associao HTTP para o site padro e associe-o com o novo certificado.
Resultados: Depois de concluir esse exerccio, voc ter criado e publicado novos modelos
de certificados.
Exerccio 2: Configurao de registro de certificado

Cenrio
A etapa seguinte na implementao da PKI na A. Datum a configurao do registro de certificado.
A. Datum deseja habilitar opes diferentes para distribuir os certificados. Os usurios devem poder
se registrar automaticamente e os usurios de carto inteligente devem obter os cartes inteligentes
dos agentes de registro. A Adatum delegou os direitos de agente de registro ao usurio Allie Bellew
do grupo do departamento de Marketing.
1.
Configurar o registro automtico para usurios.
2.
Verificao do registro automtico.
3.
Configure o agente de registro dos certificados de carto inteligente.
Tarefa 1: Configurar o registro automtico para usurios

1.
2.
Edite a Poltica de Domnio Padro.
3.
Navegue at Configurao do Usurio, expanda Polticas, expanda Configuraes do Windows,

expanda Configuraes de Segurana e clique para destacar Polticas da chave privada.
4.
Habilite a opo Cliente dos Servios de Certificado - Registro Automtico e habilite Renovar
certificados expirados, atualizar certificados pendentes e remover certificados revogados
e Atualizar certificados que usam modelos de certificados.
5.
Habilite a Poltica Cliente dos Servios de Certificado - Registro Automtico.
6.
Feche o Editor de gerenciamento da poltica de grupo e GPMC.
Tarefa 2: Verificao do registro automtico

1.
Em LON-SVR1, abra o Windows PowerShell e use gpupdate /force para atualizar a Poltica
de Grupo.
2.
Abra um console mmc.exe e adicione o snap-in de certificados focalizado na conta de usurio.
3.
Verifique se foi emitido para voc um certificado baseado no modelo Usurio de Carto
Inteligente Adatum.
Tarefa 3: Configure o agente de registro dos certificados de carto inteligente

1.
Em LON-SVR1, no console Autoridade de Certificao, abra o console Modelos de Certificado.
2.
Permita que Allie Bellew se registre em um certificado de agente de registro.
3.
Publique o modelo de certificado do agente de registro.
4.
Entre em LON-CL1 como Allie e se registre no certificado de agente de registro.
5.
Em LON-SVR1, abras as propriedades de Adatum-IssuingCA e configure o Agente de Registro

Restrito de modo que Allie s possa emitir certificados baseados no Usurio de Carto
Inteligente Adatum para o grupo de segurana Marketing.
Resultados: Depois de concluir este exerccio, voc ter configurado e verificado o registro automtico
de usurios e configurado um agente de registro para cartes inteligentes.
6-47
Exerccio 3: Configurao de revogao de certificado

Cenrio
Como parte da configurao da infraestrutura de certificado, A. Datum deseja configurar os componentes
de revogao em ACs recentemente estabelecidas. Voc vai configurar os componentes da CRL
e do respondente online.
1.
Configure a distribuio de CRL (lista de revogao de certificados) .
2.
Instale e configure um respondente online.
Tarefa 1: Configure a distribuio de CRL (lista de revogao de certificados)

1.
Em LON-SVR1, no console Autoridade de Certificao, clique com o boto direito do mouse

em Certificados Revogados e clique em Propriedades.
2.
Configure o intervalo de publicao da CRL para 1 dia e configure o intervalo de publicao

da CRL delta para 1 hora.
3.
Examine os locais de CDP em Adatum-IssuingCA.
Tarefa 2: Instale e configure um respondente online

1.
Em LON-SVR1, use o Gerenciador do Servidor para adicionar um servio de funo do

respondente online funo do AD CS existente.
2.
Quando a instalao for concluda com sucesso, clique em Configurar os Servios de Certificados
do Active Directory no servidor de destino.
3.
Configurar o respondente online.
4.
Em LON-SVR1, abra o console Autoridade de Certificao.
5.
Configure a nova distribuio local de AIA em Adatum-IssuingCA para ser http://lon-svr1/ocsp.
6.
Em Adatum-IssuingCA, publique o modelo do certificado de autenticao da Resposta OCSP

e permita que os usurios Autenticados se registrem.
7.
Abra o console de gerenciamento do respondente online.
8.
Adicione a configurao de revogao de Adatum-IssuingCA.
9.
Registre-se em um certificado de autenticao da Resposta OCSP.
10. Verifique se o status de configurao de revogao Processando.
Resultados: Depois de concluir esse exerccio, voc ter configurado a revogao de certificado.
Exerccio 4: Configurao da recuperao de chave

Cenrio
Como parte do estabelecimento de uma PKI, recomendvel configurar e testar procedimentos
de recuperao de chaves privadas. Voc deseja atribuir um certificado KRA para um administrador
e configurar a AC e os modelos de certificados especficos para permitir o arquivamento de chave.
Alm disso, recomendvel testar um procedimento de recuperao de chave.
1.
Configurar a AC para emitir certificados de KRA (agente de recuperao de chave) .
2.
Adquirir o certificado KRA.
3.
Configurar a AC para permitir a recuperao de chave.
4.
Configurar um modelo personalizado para o arquivamento da chave.
5.
Verificar a funcionalidade do arquivamento de chave.
Tarefa 1: Configurar a AC para emitir certificados de KRA (agente de recuperao

de chave)
1.
Em LON-SVR1, no console Autoridade de Certificao, clique com o boto direito do mouse na pasta
Modelos de Certificados e clique em Gerenciar.
2.
No console Certificados Modelos, abra a caixa de dilogo Propriedades do certificado do Agente

de Recuperao de Chave.
3.
Na guia Requisitos de Emisso, desmarque a caixa de seleo Aprovao do gerenciador

de certificados de autoridade de certificao.
4.
Na guia Segurana, observe que os Administradores de Domnio e Corporativos so os nicos

grupos que tem a permisso Registro.
5.
Clique com o boto direito do mouse do mouse na pasta Modelos de Certificados e habilite
o modelo Agente de recuperao de chave.
Tarefa 2: Adquirir o certificado KRA

1.
Crie uma janela de console de MMC que inclui o snap-in dos certificados do usurio atual carregado.
2.
Use o Assistente de registro de certificado para solicitar um novo certificado e para registrar
o certificado KRA.
3.
Atualize a janela do console e exiba o KRA no repositrio pessoal.
Tarefa 3: Configurar a AC para permitir a recuperao de chave

1.
Em LON-SVR1, no console Autoridade de Certificao, abra a caixa de dilogo Propriedades

de Adatum-IssuingCA.
2.
Na guia Agentes de Recuperao, clique em Arquivar a chave e adicione o certificado usando

a caixa de dilogo Seleo de Agente de Recuperao de Chave.
3.
Reinicie os servios de certificado quando solicitado.
6-49
Tarefa 4: Configurar um modelo personalizado para o arquivamento da chave

1.
2.
Duplique o modelo Usurio e nomeie-o Usurio do Arquivo.
3.
Na guia Tratamento de Solicitao, defina a opo de Arquivar a chave privada de criptografia

da entidade. Usando a opo para arquivar chave, o KRA pode obter a chave privada do repositrio
de certificados.
4.
Clique na guia Nome de Entidade e desmarque as caixas de seleo Nome de email e Incluir nome
de email no nome de entidade.
5.
Adicione Arquivar Modelo do Usurio como um novo modelo de certificado a ser emitido.
Tarefa 5: Verificar a funcionalidade do arquivamento de chave

1.
Entre em LON-CL1 como Adatum\Aidan usando a senha Pa$$w0rd.
2.
Crie uma janela de console de MMC que inclua o snap-in de certificados.
3.
Solicite e registre um novo certificado baseado no modelo Usurio do arquivo.
4.
No repositrio pessoal, localize o certificado Usurio do Arquivo.
5.
Exclua o certificado de Aidan para simular uma chave perdida.
6.
7.
Abra o console da Autoridade de Certificao, expanda Adatum-IssuingCA e clique no repositrio

Certificados Emitidos.
8.
No console Autoridade de Certificao, observe o nmero de srie do certificado que foi emitido
para Aidan Delaney.
9.
Em LON-SVR1, abra um prompt de comando e digite o comando a seguir:

Certutil getkey <nmero de srie> outputblob
Observao: Substitua <nmero de srie> pelo nmero de srie que voc anotou.
10. Verifique se o arquivo Outputblob exibido na pasta C:\Users\Administrador.
11. Para converter o arquivo Outputblob em um arquivo .pfx importvel, no prompt de comando,
digite o comando seguinte:
Certutilrecoverkey outputblob aidan.pfx.
12. Insira a senha Pa$$w0rd do certificado.

13. Verifique a criao da chave recuperada na pasta C:\Users\Administrador.
14. Alterne para a mquina LON-CL1.
15. Abra o item Central de Rede e Compartilhamento no Painel de Controle e habilite o arquivo
e o compartilhamento de impressoras para o convidado ou para os perfis de rede de pblico.
16. Retorne para LON-SVR1, copie e cole o arquivo aidan.pfx na raiz da unidade C em LON-CL1.
17. Alterne para LON-CL1 e importe o certificado aidan.pfx.
18. Verifique se o novo certificado aparece no repositrio pessoal.
Resultados: Depois de concluir este exerccio, voc ter implementado um arquivamento de chave
e ter testado a recuperao de chave privada.

estas etapas.
1.
2.
em Reverter.
3.
4.
Repita as etapas 2 e 3 em 24412B-LON-CL1, 24412B-LON-SVR1, 24412B-LON-CA1

e 24412B-LON-SVR2.
6-51

Perguntas de reviso
Pergunta: Por que razes uma organizao utilizaria a PKI?
Pergunta: Por que razes uma organizao usaria uma AC raiz corporativa?
Pergunta: Liste os requisitos para usar o registro automtico em certificados.
Pergunta: Quais so as etapas para configurar um respondente online?
Prtica recomendada:
Ao implantar a infraestrutura de AC, implante uma AC raiz autnoma (servidor associado que no
pertence ao domnio) e uma AC corporativa subordinada (AC emissora). Depois que a AC corporativa
subordinada receber um certificado da AC raiz, coloque a AC raiz offline.
Emita um certificado para a AC raiz por um longo perodo de tempo, como 15 ou 20 anos.
Use o registro automtico para certificados que so amplamente usados.
Use um agente de registro restrito sempre que possvel.
Use os cartes inteligentes virtuais para melhorar a segurana de logon.

Problema comum
O local do certificado de Autoridade de Certificao que
especificado na extenso de acesso a informaes da
autoridade no configurado para incluir o sufixo do
nome de certificado. Os clientes podem no conseguir
localizar a verso correta do certificado da AC emissora
para compilar uma cadeia de certificados e a validao
do certificado pode falhar.
A AC no configurada para incluir os locais de ponto

de distribuio de CRL nas extenses de certificados
emitidos. Os clientes podem no conseguir localizar
uma CRL para verificar o status de revogao de um
certificado, e a validao de certificado pode falhar.
A AC foi instalada como uma AC corporativa, mas

as configuraes da Poltica de Grupo de registro
automtico de usurio no foram habilitadas. Uma
AC corporativa pode usar o registro automtico para
simplificar a emisso e a renovao de certificado. Se
o registro automtico no for habilitado, a emisso
e a renovao de certificado pode no ocorrer como
esperado.

Contoso, Ltd. deseja implantar a PKI para dar suporte e proteger vrios servios. Eles decidiram usar os
Servios de Certificados do Windows Server 2012 como uma plataforma para a PKI. Os certificados sero
usados principalmente para EFS, assinatura digital, e para servidores Web. Como os documentos que
sero criptografados so importantes, essencial ter uma estratgia de recuperao de desastres no
caso de perda da chave. Alm disso, os clientes que tero acesso s partes seguras do site da empresa
no devem receber nenhum aviso nos seus navegadores.
1.
Que tipo de implantao a Contoso deve escolher ?
2.
Que tipo de certificados a Contoso deve usar para EFS e assinatura digital?
3.
Que tipo de certificados a Contoso deve usar para um site?
4.
Como a Contoso assegurar que dados com criptografia EFS no sero perdidos se um usurio
perder um certificado?
Ferramentas
Console da Autoridade de Certificado
Console de modelos de certificado
Console de certificados
Certutil.exe
7-1
Mdulo 7
Implementao do Active Directory
Rights Management Services
Contedo:
Viso geral do mdulo
7-1
Lio 1: Viso geral do AD RMS
7-2
Lio 2: Implantao e gerenciamento de uma infraestrutura do AD RMS
7-8
Lio 3: Configurao da proteo de contedo do AD RMS
7-15
Lio 4: Configurao do acesso externo ao AD RMS
7-22
7-27
7-35
Viso geral do mdulo

O Active Directory Rights Management Services (AD RMS) fornece um mtodo para proteger o
contedo que vai alm da criptografia de dispositivos de armazenamento usando a Criptografia
de Unidade do Windows BitLocker ou a criptografia de arquivos individuais usando o EFS
(Encrypting File System). O AD RMS fornece um mtodo para proteger dados em trnsito e
em repouso, alm de garantir sua acessibilidade somente a usurios autorizados para uma
durao especfica.
Este mdulo apresenta o AD RMS. Tambm descreve como implantar o AD RMS, como configurar
a proteo de contedo e como tornar documentos protegidos pelo AD RMS disponveis para
usurios externos.
Objetivos
Fornecer uma viso geral do AD RMS.
Implantar e gerenciar uma infraestrutura do AD RMS.
Configurar a proteo de contedo do AD RMS.
Configurar o acesso externo ao AD RMS.
7-2
Implementao do Active Directory Rights Management Services
Lio 1
Viso geral do AD RMS

Antes de implantar o AD RMS, voc precisa saber como o AD RMS funciona, quais componentes fazem
parte de em uma implantao do AD RMS, e como voc deve implantar o AD RMS. Voc tambm deve
entender os conceitos por trs de vrios certificados e licenas do AD RMS.
Esta lio fornece uma viso geral do AD RMS, bem como os cenrios nos quais voc pode us-lo para
proteger os dados confidenciais de sua organizao.
Objetivos da lio
Descrever o AD RMS.
Explicar os cenrios nos quais voc pode usar o AD RMS.
Listar os componentes do AD RMS.
Listar os diferentes certificados e licenas do AD RMS.
Explicar como funciona o AD RMS.
O que AD RMS?
AD RMS uma tecnologia de proteo
de informaes criada para minimizar a
possibilidade de vazamento de dados.
Vazamento de dados a transmisso de
informaes sem autorizao para pessoas
dentro ou fora da organizao para quem
no deve ter acesso a essas informaes.
O AD RMS integra-se a produtos e sistemas
operacionais existentes Microsoft, incluindo
Windows Server, Microsoft Exchange Server,
Microsoft SharePoint Server e
Microsoft Office Suite.
O AD RMS pode proteger dados em trnsito e em repouso. Por exemplo, o AD RMS pode proteger
documentos que so enviados como mensagens de email garantindo que uma mensagem no possa ser
aberta nem mesmo quando endereada acidentalmente ao destinatrio errado. Voc tambm pode usar
o AD RMS para proteger dados armazenados em dispositivos como unidades USB removveis. Uma
desvantagem das permisses de arquivos e pastas que, uma vez que o arquivo copiado em outro
local, as permisses originais no se aplicam mais. Um arquivo copiado em uma unidade USB herdar as
permisses do dispositivo de destino. Uma vez copiado, um arquivo que era somente leitura pode se
tornar editvel alterando as permisses de arquivos e pastas. Com o AD RMS, o arquivo pode ser
protegido em qualquer local, independentemente das permisses de arquivos e pastas que concedem
o acesso. Com o AD RMS, somente os usurios autorizados a abrir o arquivo podero ver o contedo
desse arquivo.
Cenrios de uso do AD RMS

O uso principal do AD RMS controlar a
distribuio de informaes confidenciais.
Voc pode usar o AD RMS em combinao
com tcnicas de criptografia para proteger
dados quando estiverem em armazenamento
ou em trnsito. Pode haver muitas razes
para controlar a distribuio de informaes
confidenciais, como precisar garantir que somente
membros autorizados da equipe tenham acesso
a um arquivo, garantir que mensagens de email
confidenciais no possam ser encaminhadas, ou
garantir que detalhes de um projeto no liberado
se torne pblico. Considere os seguintes cenrios:
Cenrio 1
O CEO copia um arquivo de planilha que contm os pacotes de compensao dos executivos de
uma organizao de uma pasta protegida em um servidor de arquivos na unidade USB pessoal do
CEO. Durante o trajeto para casa, o CEO esquece a unidade USB no trem, onde algum sem conexo
com a organizao o encontra. Sem o AD RMS, quem encontrar a unidade USB pode abrir o arquivo.
Com o AD RMS, possvel garantir que o arquivo no pode ser aberto por usurios no autorizados.
Cenrio 2
Um documento interno deve ser visvel por um grupo de pessoas autorizadas na organizao. Essas
pessoas no devem poder editar ou imprimir o documento. Embora seja possvel usar a funcionalidade
nativa do Microsoft Office Word para restringir esses recursos, fazer isso exige que cada pessoa tenha
uma conta Windows Live. Com o AD RMS, voc pode configurar essas permisses com base em
contas existentes nos Servios de Domnio do Active Directory (AD DS).
Cenrio 3
Pessoas na organizao no devem poder encaminhar mensagens de email confidenciais atribudas
a uma classificao especfica. Com o AD RMS, voc pode permitir que um remetente atribua uma
classificao especfica a uma nova mensagem de email, e essa classificao ir garantir que o
destinatrio no possa encaminhar a mensagem.
7-3
7-4
Viso geral dos componentes do AD RMS

O cluster de certificao raiz do AD RMS o
primeiro servidor AD RMS que voc implanta
em uma floresta. O cluster de certificao
raiz do AD RMS gerencia todo o trfego de
licenciamento e certificao para o domnio
no qual instalado. O AD RMS armazena
informaes de configurao em um banco
de dados do Microsoft SQL Server ou no
Banco de Dados Interno do Windows. Em
ambientes grandes, do banco de dados
do SQL Server hospedado em um servidor
separado do servidor que hospeda a
funo AD RMS.
Os clusters somente de licenciamento do AD RMS so usados em ambientes distribudos. Os clusters
somente de licenciamento no fornecem certificao, mas permitem a distribuio de licenas que so
usadas para consumo e publicao de contedo. Os clusters somente de licenciamento so geralmente
implantados em filiais grandes em organizaes que usam o AD RMS.
Servidor AD RMS
Os servidores AD RMS devem ser membros de um domnio do AD DS. Quando voc instala o AD RMS,
as informaes sobre o local do cluster so publicadas no AD DS em um local conhecido como ponto
de conexo de servio. Os computadores que so membros do domnio consultam o ponto de conexo
de servio para determinar o local de servios do AD RMS.
Cliente AD RMS
O cliente AD RMS integrado aos sistemas operacionais Windows Vista, Windows 7 e Windows 8.
O cliente AD RMS permite que aplicativos habilitados para o AD RMS imponham a funcionalidade
ditada pelo modelo do AD RMS. Sem o cliente AD RMS, os aplicativos habilitados para o AD RMS
no poderiam interagir com o contedo protegido pelo AD RMS.
Aplicativos habilitados para o AD RMS

Os aplicativos habilitados para o AD RMS permitem que usurios criem e consumam contedo protegido
pelo AD RMS. Por exemplo, o Microsoft Outlook permite que os usurios vejam e criem mensagens de
email protegidas. O Office Word permite que os usurios vejam e criem documentos de processamento
de texto protegidos. A Microsoft fornece um kit de desenvolvimento de software (SDK) do AD RMS para
permitir que os desenvolvedores habilitem seus aplicativos para oferecer suporte proteo de contedo
do AD RMS.
7-5
Certificados e licenas do AD RMS

Para entender como o funciona AD RMS,
voc precisa estar familiarizado com seus
diferentes tipos de certificados e licenas.
Cada um desses certificados e licenas funciona
de modo diferente. Alguns certificados, como
o certificado de licenciante de servidor (SLC),
so extremamente importantes, e voc deve
fazer backup deles regularmente.
SLC
O SLC gerado quando voc cria o cluster
do AD RMS. Ele tem uma validade de 250 anos.
O SLC permite que o cluster do AD RMS emita:
SLCs para outros servidores no cluster.
Certificados de Contas de Direitos para clientes.
Certificados de licenciante de cliente.
Licenas de publicao.
Licenas de uso.
Modelo de poltica de direitos.
A chave pblica do SLC criptografa a chave de contedo em uma licena de publicao. Isso permite
que o servidor AD RMS extraia a chave de contedo e emita licenas de usurio final pela chave
de publicao.
Certificado de Mquina do AD RMS

O certificado de mquina do AD RMS usado para identificar um computador ou dispositivo confivel.
Esse certificado identifica o lockbox do computador cliente. A chave pblica do certificado de mquina
criptografa a chave privada do Certificado de Conta de Direitos. A chave privada do certificado
de mquina descriptografa os Certificados de Contas de Direitos.
Certificado de Conta de Direitos

O Certificado de Conta de Direitos (RAC) identifica um usurio especfico. O tempo de validade padro
para um RAC de 365 dias. Os RACs podem ser emitidos somente para usurios do AD DS cujas contas
de usurio tm endereos de email sejam associadas a eles. Um RAC emitido na primeira vez que
um usurio tenta acessar o contedo protegido pelo AD RMS. Voc pode ajustar o tempo de validade
padro usando o n Polticas de Certificados de Contas de Direitos do console do Active Directory
Rights Management Services.
Um RAC temporrio tem um tempo de validade de 15 minutos. RACs temporrios so emitidos quando
um usurio estiver acessando contedo protegido pelo AD RMS em um computador que no um
membro da mesma floresta ou de uma floresta confivel do cluster do AD RMS. Voc pode ajustar
o tempo de validade padro usando o n Polticas de Certificados de Contas de Direitos do console
do Active Directory Rights Management Services.
7-6
O AD RMS oferece suporte aos seguintes RACs adicionais:
Os RACs dos Servios de Federao do Active Directory (AD FS) so emitidos para usurios
federados. Eles tm uma validade de sete dias.
Dois tipos de RACs do Windows Live ID tm suporte. RACs do Windows Live ID usados em
computadores privados tm uma validade de seis meses; RACs do Windows Live ID usados
em computadores pblicos so vlidos at o usurio fazer logoff.
Certificado de Licenciante de Cliente

Um certificado de licenciante de cliente permite que um usurio publique contedo protegido
pelo AD RMS quando o computador cliente no est conectado mesma rede do cluster do AD RMS.
A chave pblica de certificado de licenciante de cliente criptografa a chave de contedo simtrica e a
inclui na licena de publicao emitida. A chave privada do certificado de licenciante de cliente assina
qualquer licena de publicao emitida quando o cliente no est conectado ao cluster do AD RMS.
Os certificados de licenciante de cliente so vinculados ao RAC de um usurio especfico. Se outro usurio
que no teve um RAC emitido tentar publicar contedo protegido pelo AD RMS no mesmo cliente, ele
no poder faz-lo at que o cliente conecte-se ao cluster do AD RMS e possa emitir um RAC a esse
usurio.
Licena de Publicao
Uma licena de publicao (PL) determina os direitos que se aplicam ao contedo protegido
pelo AD RMS. Por exemplo, a licena de publicao determina se o usurio pode editar, imprimir
ou salvar um documento. A licena de publicao contm a chave de contedo, que criptografada
usando a chave pblica do servio de licenciamento. Tambm contm a URL e a assinatura digital
do servidor AD RMS.
Licena de Usurio Final

Uma licena de usurio final necessria para consumir contedo protegido pelo AD RMS.
O servidor AD RMS emite uma licena de usurio final por usurio por documento. As licenas
de usurio final so armazenadas em cache por padro.
Como o AD RMS funciona

O AD RMS funciona da seguinte maneira:
1.
A primeira vez que o autor do documento

configura a proteo de direitos para o
documento, um certificado de licenciante
de cliente solicitado pelo servidor AD RMS.
2.
O servidor emite o certificado de licenciante

de cliente para o cliente.
3.
Quando o autor recebe o certificado do

servidor AD RMS, ele pode configurar
os direitos de uso no documento.
4.
Quando o autor configura os direitos de uso,

o aplicativo criptografa o arquivo com uma chave simtrica.
5.
Essa chave simtrica criptografada na chave pblica do servidor AD RMS que usada pelo autor.
7-7
6.
O destinatrio do arquivo o abre usando um aplicativo ou navegador do AD RMS. No possvel

abrir contedo protegido pelo AD RMS a menos que o aplicativo ou navegador oferea suporte
ao AD RMS. Se o destinatrio no tiver um certificado de conta no dispositivo atual, ele ser emitido
para o usurio nesse momento. O aplicativo ou navegador transmite uma solicitao ao servidor
AD RMS do autor para uma Licena de Uso.
7.
O servidor AD RMS determina se o destinatrio est autorizado. Se o destinatrio estiver autorizado,

o servidor AD RMS emitir uma Licena de Uso.
8.
O servidor AD RMS descriptografa a chave simtrica que foi criptografada na etapa 3 usando
sua chave privada.
9.
O servidor AD RMS criptografa novamente a chave simtrica usando a chave pblica do destinatrio
e adiciona a chave de sesso criptografada Licena de Uso.
7-8
Lio 2
Implantao e gerenciamento de uma infraestrutura

do AD RMS
Antes de implantar o AD RMS, importante ter um plano de implantao que seja apropriado para o
ambiente de sua organizao. A implantao do AD RMS em uma floresta de nico domnio diferente
da implantao do AD RMS em cenrios onde voc precisa oferecer suporte a publicao e o consumo
de contedo por vrias florestas, para organizaes parceiras confiveis ou pela Internet pblica. Antes
de implantar o AD RMS, voc tambm precisa saber os requisitos de cliente e uma estratgia apropriada
de backup e recuperao do AD RMS.
Esta lio fornece uma viso geral da implantao do AD RMS e as etapas que voc precisa executar
para fazer backup, recuperar e encerrar uma infraestrutura do AD RMS.
Objetivos da lio
Descrever cenrios de implantao do AD RMS.
Configurar o cluster do AD RMS.
Explicar como instalar o primeiro servidor de um cluster do AD RMS.
Descrever os requisitos de cliente do AD RMS.
Explicar como implementar uma estratgia de backup e restaurao do AD RMS.
Explicar como encerrar e remover o AD RMS.
Cenrios de implantao do AD RMS

Uma implantao do AD RMS consiste em
um ou mais servidores conhecidos como
cluster. Um cluster do AD RMS no um
cluster de failover de alta disponibilidade.
Quando voc for implantar o AD RMS,
dever hospedar o servidor de forma que
esteja altamente disponvel. O AD RMS
geralmente implantado como uma
mquina virtual altamente disponvel.
Quando voc implantar o AD RMS em uma
nica floresta, ter um nico cluster do AD RMS.
Essa a forma mais comum de implantao
do AD RMS. Voc adiciona servidores ao cluster do AD RMS conforme necessrio para fornecer
capacidade adicional.
Quando voc implanta o AD RMS em vrias florestas, cada floresta deve ter seu prprio cluster raiz
do AD RMS. necessrio configurar Domnios de Publicao Confiveis do AD RMS para garantir
que o contedo do AD RMS possa ser protegido e consumido pelas vrias florestas.
Voc tambm pode implantar o AD RMS em locais de extranet. Nessa implantao, o servidor
de licenciamento do AD RMS acessvel para hosts na Internet. Voc usa esse tipo de implantao
para oferecer suporte colaborao com usurios externos.
7-9
Voc pode implantar o AD RMS com o AD FS ou o Microsoft Federation Gateway. Nesse cenrio, os
usurios utilizam a identidade federada para publicar e consumir contedo protegido por direitos.
Como prtica recomendada, voc no deve implantar o AD RMS em um controlador de domnio. Voc
pode implantar o AD RMS somente em um controlador de domnio se a conta de servio for membro
do grupo Admins. do Domnio.
Configurao do cluster do AD RMS

Quando voc implantar a funo de servidor
AD RMS, dever configurar o cluster do AD RMS
antes de poder usar o AD RMS. A configurao
do cluster do AD RMS envolve a configurao
dos seguintes componentes:
1.
Cluster do AD RMS. Escolha entre criar um

novo cluster AD RMS raiz ou ingressar em
um cluster existente.
2.
Banco de dados de configurao. Escolha

entre usar uma instncia existente do
SQL Server na qual armazenar o banco
de dados de configurao do AD RMS
ou configurar e instalar o Banco de Dados Interno do Windows localmente. Voc pode usar o
SQL Server 2008, SQL Server 2008 R2 ou SQL Server 2012 para oferecer suporte a uma implantao
do AD RMS no Windows Server 2012. Como prtica recomendada, use um banco de dados do
SQL Server hospedado em um servidor separado.
3.
Conta de servio. A Microsoft recomenda usar uma conta de usurio de domnio padro com
permisses adicionais. Voc pode usar uma conta de servio gerenciada como a conta de servio
do AD RMS.
4.
Modo criptogrfico. Escolha a intensidade da criptografia usada com o AD RMS.

o
O Modo Criptogrfico 2 usa chaves RSA de 2048 bits e hashes SHA-256.
O Modo Criptogrfico 1 usa chaves RSA de 1045 bits e hashes SHA-1.
5.
Armazenamento de chave do cluster. Escolha onde a chave do cluster ser armazenada. Voc pode
armazen-la no AD RMS ou usar um provedor de servio criptogrfico especial (CSP). Se voc optar
por usar um CSP e quiser adicionar mais servidores, dever distribuir a chave manualmente.
6.
Senha da chave de cluster. Essa senha criptografa a chave do cluster e necessria para ingressar
em outros servidores AD RMS do cluster, ou se quiser restaurar o cluster a partir do backup.
7.
Site do cluster. Escolha qual site do servidor local hospedar o site do cluster do AD RMS.
8.
Endereo do cluster. Especifique o nome de domnio totalmente qualificado (FQDN) a ser usado com
o cluster. Voc tem a opo de escolher entre um site criptografado pelo SSL e um no criptografado
pelo SSL. Se voc escolher um site no criptografado pelo SSL, no poder adicionar suporte para
federao de identidade. Quando voc definir o endereo e a porta do cluster, no poder alter-los
sem remover o AD RMS completamente.
7-10 Implementao do Active Directory Rights Management Services
9.
Certificado de licenciante. Escolha o nome amigvel que o SLC usar. Ele deve representar a funo
do certificado.
10. Registro de pronto de conexo de servio. Escolha se o ponto de conexo de servio ser registrado
no AD DS quando o cluster do AD RMS for criado. O ponto de conexo de servio permite que
os computadores que so membros do domnio localizem o cluster do AD RMS automaticamente.
Somente os membros do grupo Administradores de Empresa podem registrar o ponto de conexo
de servio. Voc pode executar esta etapa aps a criao do cluster do AD RMS; voc no ter
de execut-la durante o processo de configurao.
Demonstrao: Instalao do primeiro servidor de um cluster do AD RMS

Nesta demonstrao, voc ver como implantar o AD RMS em um computador que executa
o Windows Server 2012.
Configurar conta de servio
1.
Use a Central Administrativa do Active Directory para criar uma unidade organizacional chamada
Contas de Servio no domnio adatum.com.
2.
Crie uma nova conta de usurio na unidade organizacional Contas de Servio com as seguintes
propriedades:
o
Nome: ADRMSSVC
Logon UPN do usurio: ADRMSSVC
Senha: Pa$$w0rd
Confirmar senha: Pa$$w0rd
A senha nunca expira: Habilitado
O usurio no pode alterar a senha: Habilitado
Preparar o DNS
Use o console do Gerenciador DNS para criar um registro de recurso de host (A) na zona adatum.com
com as seguintes propriedades:
o
Nome: adrms
Endereo IP: 172.16.0.21
Instalar a funo AD RMS

1.
Entre em LON-SVR1 com a conta Adatum\Administrador usando a senha Pa$$w0rd.
2.
Use o Assistente de Adio de Funes e Recursos para adicionar a funo AD RMS a LON-SVR1
usando a seguinte opo:
o
Servios de funo: Active Directory Rights Management Server Services
Configurar o AD RMS
1.
No Gerenciador do Servidor, no n AD RMS, clique em Mais para iniciar a configurao

ps-implantao do AD RMS.
2.
No Assistente de Configurao do AD RMS, fornea as seguintes informaes:
3.
Criar novo cluster AD RMS raiz
Usar o Banco de Dados Interno do Windows neste servidor
Usar Adatum\ADRMSSVC como a conta de servio
Modo Criptogrfico: Modo Criptogrfico 2
Armazenamento de Chave do Cluster: Usar armazenamento de chave centralmente

gerenciada no AD RMS
Senha da Chave de Cluster: Pa$$w0rd
Site do Cluster: Default Web Site
Tipo de Conexo: Usar uma conexo descriptografada
Nome de Domnio Totalmente Qualificado: http://adrms.adatum.com
Porta: 80
Certificado de Licenciante: Adatum AD RMS
Registrar Ponto de Conexo do Servio AD RMS: Registrar o SCP Agora
Saia de LON-SVR1.
Observao: Voc deve sair antes de poder gerenciar o AD RMS.
Requisitos do cliente AD RMS

O contedo do AD RMS pode ser publicado
e consumido somente por computadores que
executam o cliente AD RMS. Todas as verses
dos sistemas operacionais cliente Windows Vista,
Windows 7 e Windows 8 incluem o software
cliente AD RMS. Os sistemas operacionais
Windows Server 2008, Windows Server 2008 R2
e Windows Server 2012 tambm incluem o
cliente AD RMS. Esses sistemas operacionais no
exigem configurao adicional para consumir
e publicar contedo protegido pelo AD RMS.
7-11
O software cliente AD RMS est disponvel para download para computadores que executam os sistemas
operacionais Microsoft Windows XP e Mac OS X. Esse software cliente deve ser instalado para que os
usurios desses sistemas operacionais possam consumir e publicar o contedo protegido pelo AD RMS.
O AD RMS requer aplicativos compatveis. Os aplicativos de servidor que oferecem suporte ao AD RMS
incluem o seguinte:
Microsoft Exchange Server 2007
Exchange Server 2010
Exchange Server 2013
Microsoft Office SharePoint Server 2007
SharePoint Server 2010
SharePoint Server 2013
Os aplicativos cliente, como os includos no Microsoft Office 2003, Office 2007, Office 2010 e Office 2013,
podem publicar e consumir contedo protegido pelo AD RMS. Voc pode usar o SDK do AD RMS para
criar aplicativos que podem publicar e consumir contedo protegido pelo AD RMS. O Visualizador XPS
e o Windows Internet Explorer tambm podem exibir contedo protegido pelo AD RMS.
Observao: A Microsoft liberou a nova verso do software cliente AD RMS AD RMS
Client 2.0. possvel baix-lo do Centro de Download da Microsoft. Entre outras coisas, a
nova verso fornece um novo SDK que voc tambm pode baixar do Centro de Download
da Microsoft. O novo SDK do AD RMS fornece um mecanismo simples para desenvolvedores
criarem aplicativos e solues que protegem e consomem contedo importante. Com o novo
SDK, agora possvel habilitar com direitos aplicativos e solues com muito mais rapidez
e facilidade do que nunca.
Licenciamento de cliente AD RMS

Para usar os Servios de Gerenciamento de Direitos em seu ambiente do AD DS, voc deve ter CALs
(Licenas de Acesso para Cliente) do Gerenciamento de Direitos do Windows. Essas CALs so diferentes
das tradicionais CALs do Windows Server de que voc precisa para conectar o cliente ao servidor. Cada
usurio que ir criar ou usar arquivos protegidos por direitos devero ter uma CAL de Usurio do RMS.
Opcionalmente, voc tambm pode usar CALs de Dispositivo do RMS para computadores que sero
usados para criar e exibir contedo protegido pelo RMS.
Se voc precisar compartilhar seu contedo protegido pelo RMS fora de sua organizao, dever adquirir
uma Licena de Conector Externo do RMS. Essa licena concede s organizaes o direito de permitir
um nmero ilimitado de usurios externos a acessar ou usar uma cpia individual licenciada do software
servidor RMS sem precisar adquirir CALs para cada usurio externo.
7-13
Implementao de uma estratgia de backup e restaurao do AD RMS

Para evitar a perda de dados, voc deve garantir
que o backup do servidor AD RMS seja feito de
maneira que possa ser recuperado em caso de
corrompimento de arquivo ou falha no servidor.
Se o servidor AD RMS ficar inacessvel, todo
o contedo protegido pelo AD RMS tambm
ficar inacessvel.
Uma estratgia simples para implementar o
backup e a restaurao do AD RMS executar
servidor AD RMS como mquina virtual e usar
um produto de backup corporativo, como o
Microsoft System Center 2012 Data Protection
Manager, para executar backups regulares da mquina virtual. Alguns dos componentes importantes
que requerem backups so a chave privada, os certificados, o banco de dados do AD RMS e os modelos.
Voc tambm pode fazer um backup completo do servidor, executando servidor AD RMS em uma
mquina virtual.
Como prtica recomendada, voc precisa fazer backup da chave privada do AD RMS e de todos os
certificados usados pelo AD RMS. O mtodo mais simples de fazer isso exportar os certificados para
um local seguro. Voc tambm deve fazer backup regularmente do banco de dados do AD RMS.
O mtodo usado para fazer isso depende se o AD RMS usa o SQL Server ou o Banco de Dados Interno
do Windows. Para fazer backup de modelos, configure os modelos para serem exportados para uma
pasta compartilhada e depois faa backup desses modelos.
Quando voc estiver executando a recuperao da funo AD RMS, talvez seja necessrio excluir o objeto
ServiceConnectionPoint do AD DS. Voc precisar fazer isso se estiver recuperando um servidor
de configurao raiz do AD RMS e o servidor tentar se autoprovisionar como servidor somente
de licenciamento.
Encerramento e remoo do AD RMS

Antes de remover um servidor AD RMS, voc
deve encerr-lo. Encerrar o AD RMS coloca o
cluster em um estado em que os consumidores
de contedo protegido pelo AD RMS podem
obter chaves especiais que descriptografam
esse contedo, independentemente das restries
existentes impostas ao uso desse contedo.
Se voc no tiver um perodo de encerramento
e simplesmente remover o servidor AD RMS,
o contedo protegido pelo AD RMS ficar
inacessvel.
Para encerrar o AD RMS, execute as etapas a seguir:

1.
Entre no servidor que est hospedando o AD RMS e que voc deseja encerrar.
2.
Modifique a lista de controle de acesso (ACL) do arquivo decommissioning.asmx. Conceda ao grupo

Todos a permisso Ler e Executar no arquivo. Esse arquivo armazenado na pasta
%systemdrive%\inetpub\wwwroot\_wmcs\decomission.
3.
No console do Active Directory Rights Management Services, expanda o n Polticas de Segurana

e clique no n Encerramento.
4.
No painel Aes, clique em Habilitar Encerramento.
5.
Clique em Encerrar.
6.
Quando for solicitada a confirmao de que deseja encerrar o servidor, clique em Sim.
Depois que o processo de encerramento do AD RMS estiver concludo, voc deve exportar o certificado
de licenciante de servidor antes de desinstalar a funo AD RMS.
7-15
Lio 3
Configurao da proteo de contedo do AD RMS

O AD RMS usa modelos de poltica de direitos para impor um conjunto consistente de polticas para
proteger o contedo. Ao configurar o AD RMS, voc precisa desenvolver estratgias para garantir que
os usurios ainda possam acessar o contedo protegido de um computador que no esteja conectado
ao cluster do AD RMS. Voc tambm precisa desenvolver estratgias para impedir que alguns usurios
acessem contedo protegido pelo AD RMS, e estratgias para garantir que o contedo protegido possa
ser recuperado caso tenha expirado, o modelo tenha sido excludo ou se o autor do contedo no estiver
mais disponvel.
Objetivos da lio
Descrever a funo de modelos de poltica de direitos.
Explicar como criar um modelo de poltica de direitos.
Explicar como implementar estratgias para garantir que modelos de poltica de direitos estejam
disponveis para uso offline.
Descrever polticas de excluso.
Explicar como criar uma poltica de excluso para excluir um aplicativo.
Implementar um grupo de superusurios do AD RMS.
Que so modelos de poltica de direitos?

Os modelos de poltica de direitos permitem
configurar mtodos padro de implementao
de polticas do AD RMS na organizao. Por
exemplo, voc pode configurar modelos padro
que concedam direitos somente de exibio,
bloquear a capacidade de editar, salvar e imprimir
ou, se usado com o Exchange Server, bloquear
a capacidade de encaminhar ou responder
a mensagens.
Os modelos de poltica de direitos so criados
usando o console do Active Directory Rights
Management Services. Eles so armazenados
no banco de dados do AD RMS e tambm podem ser armazenados em formato XML. Quando o
contedo consumido, o cliente verifica com o AD RMS se ele tem a verso mais recente do modelo.
O autor de um documento pode optar por proteger o contedo aplicando um modelo existente. Isso
feito usando um aplicativo que reconhece o AD RMS. Por exemplo, no Office Word, voc aplica um
modelo usando a funo Proteger Documento. Quando voc faz isso, Office Word consulta o AD DS
para determinar o local do servidor AD RMS. Quando o local do servidor AD RMS adquirido, os modelos
disponveis ao autor do contedo podem ser usados.
Os modelos do AD RMS oferecem suporte aos seguintes direitos:
Controle Total. Fornece ao usurio controle total sobre um documento protegido pelo AD RMS.
Exibir. Fornece ao usurio a capacidade de exibir um documento protegido pelo AD RMS.
Editar. Permite que o usurio modifique um documento protegido pelo AD RMS.
Salvar. Permite que o usurio use a funo Salvar com um documento protegido pelo AD RMS.
Exportar (Salvar como). Permite que o usurio use a funo Salvar como com um documento
protegido pelo AD RMS.
Imprimir. Permite imprimir um documento protegido pelo AD RMS.
Encaminhar. Usado com o Exchange Server. Permite que o destinatrio de uma mensagem protegida
pelo AD RMS encaminhe essa mensagem.
Responder. Usado com o Exchange Server. Permite que o destinatrio de uma mensagem protegida
pelo AD RMS responda a essa mensagem.
Responder a Todos. Usado com o Exchange Server. Permite que o destinatrio de uma mensagem
protegida pelo AD RMS use a funo Responder a Todos para responder a essa mensagem.
Extrair. Permite que o usurio copie dados do arquivo. Se esse direito no for concedido, o usurio
no poder copiar dados do arquivo.
Permitir Macros. Permite que o usurio utilize macros.
Exibir Direitos. Permite que o usurio veja os direitos atribudos.
Editar Direitos. Permite que o usurio modifique os direitos atribudos.
Direitos podem ser apenas concedidos e no podem ser negados explicitamente. Por exemplo, para
garantir que um usurio no possa imprimir um documento, o modelo associado ao documento no
deve incluir o direito Imprimir.
Os administradores tambm podem criar direitos personalizados que possam ser usados com aplicativos
personalizados que reconheam o AD RMS.
7-17
Os modelos do AD RMS tambm podem ser usados para configurar documentos com as seguintes
propriedades:
Expirao do Contedo. Determina quando o contedo expira. As opes so:

o
Nunca. O contedo nunca expira.
Expira em uma data especfica. O contedo expira em data e hora especficas.
Expira aps. O contedo expira aps um nmero de dias da sua criao.
Expirao da licena de uso. Determina o perodo em que a licena de uso ir expirar e uma
nova dever ser adquirida.
Habilitar usurios para visualizao de contedo protegido, usando um complemento

de navegador. Permite exibir o contedo usando um complemento de navegador. No exige
que o usurio tenha um aplicativo que reconhea o AD RMS.
Solicitar uma nova licena de uso sempre que o contedo for consumido. Quando voc
habilita essa opo, o cache do cliente desabilitado. Isso significa que o documento no pode
ser consumido quando o computador estiver offline.
Polticas de revogao. Permite o uso de uma lista de revogao. Isso permite que um autor
revogue a permisso para consumir o contedo. Voc pode especificar com que frequncia
a lista de revogao verificada, com o padro sendo uma vez a cada 24 horas.
Quando um modelo de poltica do AD RMS aplicado a um documento, as atualizaes desse modelo

tambm sero aplicadas ao documento. Por exemplo, se voc tiver um modelo sem uma poltica de
expirao de contedo usada para proteger documentos, e modificar esse modelo para incluir uma
poltica de expirao de contedo, esses documentos protegidos passaro a ter uma poltica de
expirao. As alteraes do modelo so refletidos quando a licena de usurio final adquirida.
Se licenas de usurio final forem configuradas para no expirar e o usurio que estiver acessando
o documento tiver uma licena, ele poder no receber o modelo atualizado.
Observao: Voc deve evitar excluir modelos, pois os documentos que usam esses
modelos se tornaro inacessveis para todos, exceto membros do grupo de superusurios.
Como prtica recomendada, arquive os modelos em vez de exclu-los.
Voc pode exibir os direitos associados a um modelo selecionando o modelo no console do Active
Directory Rights Management Services e, no menu Aes, clicando em Exibir Resumo de Direitos.
Demonstrao: Criao de um modelo de poltica de direitos

Nesta demonstrao, voc ver como criar um modelo de poltica de direitos que permita que os usurios
vejam um documento, mas no executem outras aes.
No console do Active Directory Rights Management Services, use o n Modelo de Poltica de Direitos
para criar um modelo de poltica de direitos distribudos com as seguintes propriedades:
o
Idioma: Portugus (Brasil)
Nome: ReadOnly
Descrio: Acesso somente leitura. Sem cpia ou impresso.
Usurios e direitos: executivos@adatum.com
Direitos para todos: Exibio
Conceder ao proprietrio (autor) o direito ininterrupto de controle total
Expirao do Contedo: Expira aps 7 dias
Expirao da licena de uso: Expira aps 7 dias
Solicitar uma nova licena de uso sempre que o contedo for consumido (desabilitar cache
no lado do cliente): Habilitado
Fornecimento de modelos de poltica de direitos para uso offline

Se os usurios forem publicar modelos
conectados ao AD RMS quando no estiverem
conectados rede, voc dever garantir que eles
tenham acesso a uma cpia local dos modelos
de poltica de direitos disponveis.
Voc pode configurar os computadores para
adquirir e armazenar modelos de poltica de
direitos publicados automaticamente, para
que estejam disponveis offline. Para habilitar
esse recurso, os computadores devem estar
executando os seguintes sistemas operacionais
Windows:
Windows Vista com Service Pack 1 (SP1) ou mais recente
Windows 7
Windows 8
Windows Server 2008
Windows Server 2012
7-19
Para habilitar essa funcionalidade, no Agendador de Tarefas, habilite a Tarefa Agendada

de Gerenciamento de Modelos de Poltica de Direitos (Automatizada) da AD RMS
e edite a seguinte chave do Registro:
HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Common\DRM
Fornea o seguinte local para o armazenamento de modelos:

%LocalAppData%\Microsoft\DRM\Templates
Quando os computadores que executam esses sistemas operacionais estiverem conectados ao domnio, o
cliente AD RMS busca no cluster do AD RMS por novos modelos ou atualizaes para modelos existentes.
Como alternativa para a distribuio de modelos, voc tambm pode usar pastas compartilhadas como
armazenamento para modelos. Voc pode configurar uma pasta compartilhada para modelos executando
as seguintes etapas:
1.
No console do Active Directory Rights Management Services, clique com o boto direito do mouse
no n Modelos de Poltica de Direitos e clique em Propriedades.
2.
Na caixa de dilogo Propriedades de Modelos de Poltica de Direitos, especifique o local da pasta

compartilhada na qual os modelos sero publicados.
O que so polticas de excluso?

As polticas de excluso permitem impedir
que contas de usurio, softwares cliente
ou aplicativos especficos usam o AD RMS.
Excluso de Usurio
A poltica Excluso de Usurio permite configurar
o AD RMS para que contas de usurio especficas
que so identificadas com base nos endereos
de email no possam obter licenas de uso.
Voc faz isso adicionando o RAC de cada usurio
lista de excluso. A Excluso de Usurio
desabilitada por padro. Uma vez habilitada
a Excluso de Usurio, pode excluir RACs
especficos.
Voc pode usar a Excluso de Usurio caso precise impedir o acesso de um usurio especfico ao
contedo protegido pelo AD RMS. Por exemplo, quando os usurios saem da organizao, voc pode
excluir seus RACs para garantir que eles no possam acessar o contedo protegido. Voc pode bloquear
os RACs atribudos a usurios internos e externos.
Execuo de Aplicativo
A poltica Excluso de Aplicativo permite impedir que aplicativos especficos como Office PowerPoint
criem ou consumam o contedo protegido pelo AD RMS. Voc especifica aplicativos com base em
nomes executveis. Voc tambm especifica uma verso mnima e mxima do aplicativo. A Excluso
de Aplicativo desabilitada por padro.
Observao: possvel burlar a Excluso de Aplicativo renomeando um arquivo executvel.
Excluso de Lockbox
A poltica Excluso de Lockbox permite excluir clientes AD RMS, como aqueles usados com sistemas
operacionais especficos, como Windows XP e Windows Vista. A Excluso de Verso de Lockbox
desabilitada por padro. Uma vez habilitada a Excluso de Verso de Lockbox, voc deve especificar
a verso de lockbox mnima que pode ser usada com o cluster do AD RMS.
Leitura adicional: Para saber mais sobre como habilitar polticas de excluso, consulte
Habilitando polticas de excluso em http://go.microsoft.com/fwlink/?LinkId=270031.
Demonstrao: Criao de uma poltica de excluso para excluir

um aplicativo
Nesta demonstrao, voc ver como excluir o aplicativo Office PowerPoint do AD RMS.
1.
No console do Active Directory Rights Management Services, habilite Excluso de aplicativo.
2.
Na caixa de dilogo Excluir Aplicativo, digite as seguintes informaes:

o
Nome de arquivo do aplicativo: Powerpnt.exe
Verso mnima: 14.0.0.0
Verso mxima: 16.0.0.0
Grupo Superusurios do AD RMS

O grupo Superusurios do AD RMS uma funo
especial, e os membros desse grupo tm total
controle sobre o contedo protegido por direitos
gerenciado pelo cluster. Os membros do grupo
Superusurios recebem plenos direitos de
proprietrio em todas as licenas de uso que
so emitidas pelo cluster do AD RMS no qual
o grupo de superusurios est configurado.
Isso significa que os membros desse grupo
podem descriptografar qualquer arquivo de
contedo protegido por direitos e remover
a proteo de direitos.
O grupo de superusurios do AD RMS fornece um mecanismo de recuperao de dados para contedo
protegido pelo AD RMS. Esse mecanismo til caso voc tenha de recuperar dados protegidos pelo
AD RMS, como quando o contedo expira, quando um modelo excludo ou quando voc no tem
acesso.
7-21
Os membros do grupo de superusurios recebem licenas de uso de proprietrio para todo o contedo
protegido pelo cluster do AD RMS no qual esse grupo de superusurios especfico est habilitado.
Os membros do grupo de superusurios pode redefinir a senha de chave privada do servidor AD RMS.
Como os membros do grupo de superusurios podem acessar qualquer contedo protegido pelo
AD RMS, voc deve ter cuidado principalmente quando estiver gerenciando a associao desse grupo.
Se voc optar por usar o grupo de superusurios do AD RMS, dever considerar a implementao
da poltica de grupos restritos e da auditoria para limitar a associao ao grupo, e auditar qualquer
alterao realizada. A atividade dos superusurios gravada no log de eventos do aplicativo.
O grupo de superusurios desabilitado por padro. Voc habilita o grupo de superusurios executando
as seguintes etapas:
1.
No console do Active Directory Rights Management Services, expanda o n do servidor e clique

em Polticas de Segurana.
2.
Na rea Polticas de Segurana, em Superusurios, clique em Alterar Configuraes

de Superusurio.
3.
No painel Aes, clique em Habilitar Superusurios.
Para definir um grupo especfico como o grupo de superusurios:

1.
Na rea Polticas de Segurana\Superusurios, clique em Alterar grupo de superusurios.
2.
Fornea o endereo de email associado ao grupo de superusurios.
Lio 4
Configurao do acesso externo ao AD RMS

Voc pode considerar necessrio fornecer aos usurios que no fazem parte da organizao o acesso
ao contedo protegido pelo AD RMS. Essa poderia ser uma situao onde um usurio externo um
prestador de servios que precisa de acesso a materiais confidenciais, ou uma organizao parceira
onde seus usurios precisam acessar o contedo protegido publicado pelo servidor AD RMS. O AD RMS
prov vrias opes diferentes para conceder acesso ao contedo protegido para usurios externos.
Objetivos da lio
Descrever as opes disponveis para tornar o contedo protegido pelo AD RMS acessvel
para usurios externos.
Explicar como implementar domnios de usurio confiveis.
Listar as etapas necessrias para implantar domnios de publicao confiveis.
Descrever as etapas necessrias para configurar o AD RMS para compartilhar contedo protegido
com usurios que tenham Windows Live IDs.
Determinar a soluo apropriada para compartilhar contedo protegido pelo AD RMS com usurios
externos.
Opes para habilitar o acesso ao AD RMS para usurios externos

As polticas de confiana permitem que usurios
fora da sua organizao possam consumir o
contedo protegido pelo AD RMS. Por exemplo,
uma poltica de confiana pode permitir que os
usurios de ambientes BYOD (traga seu prprio
dispositivo) consumam o contedo protegido
pelo AD RMS, at mesmo aqueles computadores
que no so membros do domnio AD DS
da organizao. As relaes de confiana do
AD RMS so desabilitadas por padro, e voc
deve habilit-las para poder us-las. O AD RMS
oferece suporte s seguintes polticas
de confiana.
Domnios de Usurio Confiveis

Domnios de Usurio Confiveis (TUDs) permitem que um cluster do AD RMS processe solicitaes para
certificados de licenciante de cliente ou licenas de uso de pessoas que tenham RACs emitidas por um
cluster do AD RMS diferente. Por exemplo, a A. Datum Corporation e a Trey Research so organizaes
separadas que implantaram o AD RMS. Os TUDs permitem que cada organizao publique e consuma
o contedo protegido pelo AD RMS de e para a organizao parceira sem ter de implementar relaes
de confiana do AD DS ou o AD FS.
7-23
Domnios de Publicao Confiveis

Domnios de Publicao Confiveis (TPDs) permitem que um cluster do AD RMS emita licenas
de usurio final para contedo que usa licenas de publicao emitidas por um cluster do AD RMS
diferente. Os TPDs consolidam a infraestrutura existente do AD RMS.
Confiana de Federao
A Confiana de Federao fornece logon nico (SSO) para tecnologias de parceiros. Os parceiros
federados podem consumir o contedo protegido pelo AD RMS sem implantar sua prpria
infraestrutura do AD RMS. A Confiabilidade de Federao a implantao do AD FS.
Confiana do Windows Live ID

Voc pode usar o Windows Live ID para permitir que usurios autnomos com contas Windows Live ID
consumam o contedo protegido pelo AD RMS gerado por usurios em sua organizao. No entanto,
usurios do Windows Live ID no podem criar contedo protegido pelo cluster do AD RMS.
Microsoft Federation Gateway

O Microsoft Federation Gateway permite que um cluster do AD RMS processe solicitaes para publicar
e consumir o contedo protegido pelo AD RMS de organizaes externas, aceitando tokens de
autenticao baseados em declaraes do Microsoft Federation Gateway. Em vez de configurar uma
Confiana de Federao, cada organizao tem uma relao com o Microsoft Federation Gateway.
O Microsoft Federation Gateway atua como um agente de confiana.
Leitura adicional: Para saber mais sobre as polticas de confiana do AD RMS,
consulte http://go.microsoft.com/fwlink/?LinkId=270032.
Implementao de TUD
O TUD permite que o AD RMS atenda
solicitaes de usurios que tm RACs
emitidas por diferentes implantaes
do AD RMS. Voc pode usar excluses
com cada TUD para bloquear o acesso
a usurios e grupos especficos.
Para configurar o AD RMS para oferecer suporte
s solicitaes de servios de usurios com RACs
emitidas por diferentes implantaes do AD RMS,
adicione a organizao lista de TUDs. Os TUDs
podem ser unidirecionais, onde a organizao
A um TUD da organizao B, ou bidirecionais,
onde a organizao A e a organizao B so TUDs uma da outra. Em implantaes unidirecionais,
possvel que os usurios do TUD consumam o contedo da implantao local do AD RMS, mas
eles no podem publicar contedo protegido pelo AD RMS usando o cluster local do AD RMS.
Voc precisa habilitar o acesso annimo ao servio de licenciamento do AD RMS nos Servios
de Informaes da Internet (IIS) ao usar TUD. Isso porque, por padro, acessar o servio requer
a autenticao usando a Autenticao Integrada do Windows.
Para adicionar um TUD, execute as seguintes etapas:

1.
O TUD da implantao do AD RMS em que voc deseja confiar j deve ter sido exportado
e o arquivo deve estar disponvel. (Os arquivos TUD usam a extenso .bin.)
2.
No console do AD RMS, expanda Polticas de Confiana e clique em Domnios de Usurio

Confiveis.
3.
No painel Aes, clique em Importar Domnio de Usurio Confivel.
4.
Na caixa de dilogo Domnio de Usurio Confivel, digite o caminho para o arquivo TUD
exportado com a extenso .bin.
5.
Fornea um nome para identificar esse TUD. Se voc configurou a federao, tambm poder
optar por estender a confiana a usurios federados do servidor importado.
Voc tambm pode usar o cmdlet Import-RmsTUD do Windows PowerShell, que faz parte do
mdulo ADRMSADMIN do Windows PowerShell, para adicionar um TUD.
Para exportar um TUD, execute as seguintes etapas:
1.
No console do Active Directory Rights Management Services, expanda Polticas de Confiana

e clique em Domnios de Usurio Confiveis.
2.
No painel Aes, clique em Exportar Domnio de Usurio Confivel.
3.
Salve o arquivo TUD com um nome descritivo.
Voc tambm pode usar o cmdlet Export-RmsTUD do Windows PowerShell para exportar um TUD
do servidor AD RMS.
Implementao de TPD
Voc pode usar TPD para configurar uma
relao de confiana entre duas implantaes
do AD RMS. Um TDP do AD RMS, que uma
implantao local do AD RMS pode conceder
licenas de usurio final para contedo publicado
usando a implantao do AD RMS do domnio de
publicao confivel. Por exemplo, a Contoso,
Ltd e a A. Datum Corporation so definidas
como parceiras de TPD. O TPD permite que
os usurios da implantao do AD RMS da
Contoso consumam o contedo publicado usando
a implantao do AD RMS da A. Datum, usando
licenas de usurio final concedidas pela implantao do AD RMS da Contoso.
Voc pode remover um TPD a qualquer momento. Quando voc fizer isso, os clientes da implantao
remota do AD RMS no podero emitir licenas de usurio final para acessar o contedo protegido
por seu cluster do AD RMS.
Durante a configurao de um TPD, voc importa o SLC de outro cluster do AD RMS. TPDs
so armazenados no formato .xml e protegidos por senhas.
7-25
Para exportar um TPD, execute as seguintes etapas:

1.

e clique em Domnios de Publicao Confiveis.
2.
No painel Resultados, clique no certificado do domnio do AD RMS que voc deseja exportar
e, no painel Aes, clique em Exportar Domnio de Publicao Confivel.
3.
Escolha uma senha forte e um nome de arquivo para o TPD.
Durante a exportao de um TPD, voc poder salv-lo como um arquivo TPD compatvel com V1. Isso
permite que o TPD seja importado para organizaes que estejam usando clusters do AD RMS em verses
anteriores do sistema operacional Windows Server, como a verso disponvel no Windows Server 2003.
Voc tambm pode usar o cmdlet Export-RmsTPD do Windows PowerShell para exportar um TPD.
Para importar um TPD, execute as seguintes etapas:
1.

e clique em Domnios de Publicao Confiveis.
2.
No painel Aes, clique em Importar Domnio de Publicao Confivel.
3.
Especifique o caminho do arquivo do Domnio de Publicao Confivel que voc deseja importar.
4.
Digite a senha para abrir o arquivo do Domnio de Publicao Confivel e digite um nome para
exibio que identifique o TPD.
Voc tambm pode usar o cmdlet Import-RmsTPD do Windows PowerShell para importar um TPD.
Leitura adicional: Para saber mais sobre como importar TPDs, consulte Adicionar
um domnio de publicao confivel em http://go.microsoft.com/fwlink/?LinkId=270033.
Compartilhamento de documentos protegidos pelo AD RMS usando

o Windows Live ID
Voc pode usar o Windows Live ID como
um mtodo de fornecer RACs a usurios
que no fazem parte de sua organizao.
Para confiar em RACs baseadas no
Windows Live ID, execute as seguintes etapas:
1.
No console do Active Directory Rights

Management Services, expanda Polticas
de Confiana e clique em Domnios
de Usurio Confiveis.
2.
No painel Aes, clique em Confiar

em Windows Live ID.
Para excluir domnios de email especficos do Windows Live ID, clique com o boto direito do mouse no
certificado do Windows Live ID, clique em Propriedades e clique na guia Windows Live IDs Excludos.
Voc pode digitar as contas Windows Live ID que deseja excluir da capacidade de obter RACs.
Para permitir que os usurios com contas Windows Live ID obtenham RACs de seu cluster do AD RMS,
voc precisa configurar o IIS para oferecer suporte ao acesso annimo. Para isso, execute estas etapas:
1.
No servidor do AD RMS, abra o console do Gerenciador do IIS.
2.
Navegue at n Sites\Default Web Site\_wmcs, clique no diretrio virtual Licenciamento

e clique em Alternar para Exibio de Contedo.
3.
Clique com o boto direito do mouse do mouse em license.asmx e clique em Alternar

para Exibio de Contedo.
4.
Clique duas vezes em Autenticao e habilite Autenticao Annima.
5.
Repita esta etapa para o arquivo ServiceLocator.asmx.
Leitura adicional: Para saber mais sobre como usar o Windows Live ID para estabelecer
RACs para usurios, consulte http://go.microsoft.com/fwlink/?LinkId=270034.
Consideraes para implementar o acesso de usurios externos ao AD RMS

O tipo de acesso externo que voc configura
depende dos tipos de usurios externos que
precisam acessar o contedo de sua organizao.
Quando voc estiver determinando qual mtodo
usar, considere as seguintes perguntas:
O usurio externo pertence a uma

organizao que tem uma implantao
existente do AD RMS?
A organizao do usurio externo tem

uma Confiana Federada existente com
a organizao interna?
A organizao do usurio externo estabeleceu uma relao com o Microsoft Federation Gateway?
O usurio externo precisa publicar contedo protegido pelo AD RMS que acessvel a titulares
de RAC internos?
possvel que as organizaes possam usar uma soluo antes de recorrer a outra. Por exemplo,
durante as fases iniciais, apenas um nmero pequeno de usurios externos pode exigir acesso ao
contedo protegido pelo AD RMS. Nesse caso, usar contas Windows Live ID para RACs pode ser
apropriado. Quando nmeros maiores de usurios externos de uma nica organizao exigem
acesso, uma soluo diferente pode ser apropriada. O benefcio financeiro que uma soluo
traz a uma organizao deve exceder o custo da implementao dessa soluo.
7-27

Cenrio
Devido natureza altamente confidencial da pesquisa realizada na A. Datum Corporation, a equipe de
segurana da A. Datum quer implementar segurana adicional para alguns dos documentos criados pelo
departamento de pesquisa. A preocupao da equipe de segurana que qualquer pessoa com acesso
de leitura aos documentos pode modificar e distribuir os documentos da maneira que pretender.
A equipe de segurana gostaria de fornecer um nvel adicional de proteo que permanea com
o documento mesmo que ela seja movido na rede ou para fora da rede.
Como um dos administradores de rede sniores da A. Datum, voc precisa planejar e implementar
uma soluo do AD RMS que fornea o nvel de proteo exigido pela equipe de segurana. A soluo
do AD RMS deve fornecer muitas opes diferentes que podem ser adaptadas para um ampla variedade
de requisitos comerciais e de segurana.
Objetivos
Instalar e configurar o AD RMS.
Configurar modelos do AD RMS.
Implementar polticas de confiana do AD RMS.
Verificar a implantao do AD RMS.
Mquinas virtuais
24412B-LON-DC1
24412B-LON-SVR1
24412B-LON-CL1
24412B-MUN-DC1
24412B-MUN-CL1
Nome de Usurio
Senha
Pa$$w0rd
1.

2.
3.
4.
5.
Senha: Pa$$w0rd
Repita a etapa 2 e 3 para 24412B-LON-SVR1, 24412B-MUN-DC1, 24412B-LON-CL1

e 24412B-MUN-CL1. No entre at receber instrues.
Exerccio 1: Instalao e configurao do AD RMS

Cenrio
A primeira etapa da implantao do AD RMS na A. Datum implantar um nico servidor em um cluster
do AD RMS. Voc comear configurando os registros DNS apropriados e a conta de servio do AD RMS,
depois continuar com a instalao e configurao do primeiro servidor AD RMS. Voc tambm habilitar
o grupo de superusurios do AD RMS.
1.
Configurar o DNS (Sistema de Nomes de Domnio) e a conta de servio Active Directory

Rights Management Services (AD RMS) .
2.
Instalar e configurar a funo de servidor AD RMS.
3.
Configurar o grupo de superusurios do AD RMS.
Tarefa 1: Configurar o DNS (Sistema de Nomes de Domnio) e a conta de servio

Active Directory Rights Management Services (AD RMS)
1.
Entre em LON-DC1 com a conta Adatum\Administrador e a senha Pa$$w0rd.
2.
Use a Central Administrativa do Active Directory para criar uma UO chamada Contas de Servio
no domnio adatum.com.
3.
Crie uma nova conta de usurio na unidade organizacional Contas de Servio com as seguintes
propriedades:
o
Nome: ADRMSSVC
Logon UPN do usurio: ADRMSSVC
Senha: Pa$$w0rd
Confirmar senha: Pa$$w0rd
A senha nunca expira: Habilitado
O usurio no pode alterar a senha: Habilitado
4.
Crie um novo grupo de segurana global no continer Usurios chamado ADRMS_SuperUsers.

Defina o endereo de email desse grupo como ADRMS_SuperUsers@adatum.com.
5.
Crie um novo grupo de segurana global no continer Usurios chamado Executivos. Defina
o endereo de email desse grupo como executivos@adatum.com.
6.
Adicione as contas de usurio Aidan Delaney e Bill Malone ao grupo Executivos.
7.
Use o console do Gerenciador DNS para criar um registro de recurso de host (A) na zona adatum.com
com as seguintes propriedades:
o
Nome: adrms
Endereo IP: 172.16.0.21
Tarefa 2: Instalar e configurar a funo de servidor AD RMS

1.
Entre em LON-SVR1 com a conta Adatum\Administrador e a senha Pa$$w0rd.
2.
Use o Assistente de Adio de Funes e Recursos para adicionar a funo Active Directory Rights
Management Services a LON-SVR1 usando a seguinte opo:
o
Servios de funo: Active Directory Rights Management Services
3.
No n AD RMS do Gerenciador do Servidor, clique em Mais para iniciar a configurao

ps-implantao do AD RMS.
4.
No Assistente de Configurao do AD RMS, fornea as seguintes informaes:

o
Criar novo cluster AD RMS raiz
Usar o Banco de Dados Interno do Windows neste servidor
Conta de servio: Adatum\ADRMSSVC
Modo Criptogrfico: Modo Criptogrfico 2
Armazenamento de Chave do Cluster: Usar armazenamento de chave centralmente

gerenciada no AD RMS
Senha da Chave de Cluster: Pa$$w0rd
Site do Cluster: Default Web Site
Tipo de Conexo: Usar uma conexo descriptografada
Nome de Domnio Totalmente Qualificado: http://adrms.adatum.com
Porta: 80
Certificado de Licenciante: Adatum AD RMS
Registrar Ponto de Conexo do Servio AD RMS: Registrar o SCP Agora
5.
Use o console do Gerenciador do IIS (Servios de Informaes da Internet) para

habilitar a Autenticao Autnoma nos diretrios virtuais Default Web Site\_wmcs
e Default Web Site\_wmcs\licensing.
6.
Saia de LON-SVR1.
Observao: Voc deve sair antes de poder gerenciar o AD RMS. Este laboratrio usa a
porta 80 por convenincia. Em ambientes de produo, voc protegeria o AD RMS usando
uma conexo criptografada.
Tarefa 3: Configurar o grupo de superusurios do AD RMS

1.
Entre em LON-SVR1 com a conta Adatum\Administrador e a senha Pa$$w0rd.
2.
Abra o console do Active Directory Rights Management Services.
3.
No console do Active Directory Rights Management Services, habilite Superusurios.
4.
Defina o grupo ADRMS_SuperUsers@adatum.com como o grupo de superusurios.
Resultados: Depois de concluir este exerccio, voc ter instalado e configurado o AD RMS.
7-29
Exerccio 2: Configurao de modelos do AD RMS

Cenrio
Depois de implantar o servidor AD RMS, agora voc deve configurar os modelos de poltica de direitos
e polticas de excluso para a organizao. Voc implantar ambos os componentes.
1.
Configurar um novo modelo de poltica de direitos.
2.
Configurar a distribuio do modelo de poltica de direitos.
3.
Configurar uma poltica de excluso.
Tarefa 1: Configurar um novo modelo de poltica de direitos
Em LON-SVR1, use o n Modelo de Poltica de Direitos do console do Active Directory Rights

Management Services para criar um modelo de poltica de direitos distribudos com as seguintes
propriedades:
o
Idioma: Portugus (Brasil)
Nome: ReadOnly
Descrio: Acesso somente leitura. Sem cpia ou impresso
Usurios e direitos: executivos@adatum.com
Direitos para todos: Exibio
Conceder ao proprietrio (autor) o direito ininterrupto de controle total
Expirao do Contedo: 7 dias
Expirao da licena de uso: 7 dias
Solicitar uma nova licena de uso: sempre que o contedo for consumido (desabilitar cache
no lado do cliente)
Tarefa 2: Configurar a distribuio do modelo de poltica de direitos

1.
Em LON-SVR1, abra um prompt do Windows PowerShell e lance os seguintes comandos,

pressionando Enter depois de cada um deles:
New-Item c:\rmstemplates -ItemType Directory
New-SmbShare -Name RMSTEMPLATES -Path c:\rmstemplates -FullAccess ADATUM\ADRMSSVC
New-Item c:\docshare -ItemType Directory
New-SmbShare -Name docshare -Path c:\docshare -FullAccess Todos
2.
No console do Active Directory Rights Management Services, defina o local do arquivo Modelos
de Poltica de Direitos como \\LON-SVR1\RMSTEMPLATES.
3.
No Explorador de Arquivos, abra a pasta c:\rmstemplates. Verifique se o modelo ReadOnly.xml

est presente.
7-31
Tarefa 3: Configurar uma poltica de excluso

1.
No console do Active Directory Rights Management Services, habilite Excluso de aplicativo.
2.
Na caixa de dilogo Excluir Aplicativo, digite as seguintes informaes:

o
Nome de arquivo do aplicativo: Powerpnt.exe
Verso mnima: 14.0.0.0
Verso mxima: 16.0.0.0
Resultados: Depois de concluir este exerccio, voc ter configurado modelos do AD RMS.
Exerccio 3: Implementao de polticas de confiana do AD RMS

Cenrio
Como parte da implantao do AD RMS, voc precisa garantir que a funcionalidade do AD RMS seja
estendida implantao do AD RMS da Trey Research. Voc configurar as polticas de confiana
necessrias e depois validar que pode compartilhar contedo protegido entre as duas organizaes.
1.
Exportar a poltica Domnios de Usurio Confiveis.
2.
Exportar a poltica Domnios de Publicao Confiveis.
3.
Importar a poltica Domnio de Usurio Confivel do domnio de parceiro.
4.
Importar a poltica Domnios de Publicao Confiveis do domnio de parceiro.
Tarefa 1: Exportar a poltica Domnios de Usurio Confiveis

1.
Em LON-SVR1, abra um prompt do Windows PowerShell e lance os seguintes comandos,

pressionando Enter depois de cada um deles:
New-Item c:\export -ItemType Directory
New-SmbShare -Name Export -Path c:\export -FullAccess Todos
2.
Use o console do Active Directory Rights Management Services para exportar a poltica TUD
para o compartilhamento \\LON-SVR1\export como ADATUM-TUD.bin.
3.
Entre em MUN-DC1 com a conta TREYRESEARCH\Administrador e a senha Pa$$w0rd.
4.
Em MUN-DC1, abra o console do Active Directory Rights Management Services.
5.
Exporte a poltica Domnio de Usurio Confivel para o compartilhamento \\LON-SVR1\export

como TREYRESEARCH-TUD.bin.
6.
Em MUN-DC1, abra um prompt do Windows PowerShell e emita o seguinte comando

e pressione Enter:
Add-DnsServerConditionalForwarderZone -MasterServers 172.16.0.10 -Name adatum.com
Tarefa 2: Exportar a poltica Domnios de Publicao Confiveis

1.
2.
Use o console do Active Directory Rights Management Services para exportar a poltica TPD para
o compartilhamento \\LON-SVR1\export como ADATUM-TPD.xml. Proteja esse arquivo usando
a senha Pa$$w0rd.
3.
Alterne para MUN-DC1.
4.
Use o console do Active Directory Rights Management Services para exportar a poltica TPD para
o compartilhamento \\LON-SVR1\export como TREYRESEARCH-TPD.xml. Proteja esse arquivo
usando a senha Pa$$w0rd.
Tarefa 3: Importar a poltica Domnio de Usurio Confivel do domnio de parceiro

1.
2.
Importe a poltica TUD para a Trey Research importando o arquivo

\\LON-SVR1\export\treyresearch-tud.bin. Use o nome para exibio TreyResearch.
3.
Alterne para MUN-DC1.
4.
Importe a poltica TUD para a Trey Research importando o arquivo

\\LON-SVR1\export\adatum-tud.bin. Use o nome para exibio Adatum.
Tarefa 4: Importar a poltica Domnios de Publicao Confiveis do domnio

de parceiro
1.
2.
Importe o TPD da Trey Research importando o arquivo \\LON-SVR1\export\treyresearch-tpd.xml,

usando a senha Pa$$w0rd e o nome para exibio Trey Research.
3.
Alterne para MUN-SVR1.
4.
Importe o Domnio de Publicao Confivel da Adatum importando o arquivo \\LON-SVR1\export\

adatum-tpd.xml, usando a senha Pa$$w0rd e o nome para exibio Adatum.
Resultados: Depois de concluir este exerccio, voc ter implementado as polticas de confiana
do AD RMS.
Exerccio 4: Verificao da implantao do AD RMS

Cenrio
Como etapa final na implantao, voc validar se a configurao est funcionando corretamente.
1.
Criar um documento protegido por direitos.
2.
Verificar o acesso interno ao contedo protegido.
3.
Abrir o documento protegido por direitos como usurio no autorizado.
4.
Abrir e editar o documento protegido por direitos como usurio autorizado na Trey Research.
7-33
Tarefa 1: Criar um documento protegido por direitos

1.
Entre em LON-CL1 com a conta Adatum\Aidan e a senha Pa$$w0rd.
2.
Abra o Microsoft Word 2010.
3.
Crie um documento chamado Somente Executivos.
4.
No documento, digite o seguinte texto:

Este documento somente para executivos, no deve ser modificado.
5.
No item Permisses, opte por restringir acesso. Conceda a bill@adatum.com a permisso

para ler o documento.
6.
Salve o documento no compartilhamento \\lon-svr1\docshare.
7.
Saia de LON-CL1.
Tarefa 2: Verificar o acesso interno ao contedo protegido

1.
Entre em LON-CL1 com a conta Adatum\Bill usando a senha Pa$$w0rd.
2.
Na pasta \\lon-svr1\docshare, abra o documento Somente Executivos.
3.
Quando solicitado, fornea as credenciais Adatum\Bill com a senha Pa$$w0rd.
4.
Verifique que voc no pode modificar nem salvar o documento.
5.
Selecione uma linha de texto no documento.
6.
Clique com o boto direito do mouse do mouse na linha de texto. Verifique que voc no
pode modificar esse texto.
7.
Veja as permisses do documento.
8.
Saia de LON-CL1.
Tarefa 3: Abrir o documento protegido por direitos como usurio no autorizado

1.
Entre em LON-CL1 como Adatum\Carol usando a senha Pa$$w0rd.
2.
Na pasta \\lon-svr1\docshare, tente abrir o documento Somente Executivos.
3.
Verifique que a Carol no tem permisso para abrir o documento.
4.
Saia de LON-CL1.
Tarefa 4: Abrir e editar o documento protegido por direitos como usurio autorizado
na Trey Research
1.
Entre em LON-CL1 com a conta Adatum\Aidan usando a senha Pa$$w0rd.
2.
Abra o Microsoft Word 2010.
3.
Crie um novo documento chamado \\LON-SVR1\docshare\TreyResearch-Confidential.docx.
4.
No documento, digite o seguinte texto:

Este documento somente para a Trey Research, no deve ser modificado.
5.
Restrinja a permisso de forma que april@treyresearch.net possa abrir o documento.
6.
Entre em MUN-CL1 como TREYRESEARCH\April com a senha Pa$$w0rd.
7.
Use o Explorador de Arquivos para navegar at \\LON-SVR1\docshare. Use as credenciais

Adatum\Administrador e Pa$$w0rd para se conectar.
8.
Copie o documento TreyReserch-Confidential.docx na rea de trabalho.
9.
Tente abrir o documento. Quando solicitado, digite as credenciais a seguir, marque a caixa
de seleo Lembrar minhas credenciais e clique em OK:
o
Nome de Usurio: April
Senha: Pa$$w0rd
10. Verifique que voc pode abrir o documento, mas no pode fazer modificaes nele.
11. Veja as permisses que a conta april@treyresearch.com tem para o documento.
Resultados: Depois de concluir este exerccio, voc ter verificado que a implantao do AD RMS
foi bem-sucedida.

estas etapas.
1.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24412B-LON-DC1

3.
4.
Repita as etapas 2 e 3 para 24412B-LON-SVR1, 24412B-MUN-DC1, 24412B-LON-CL1

e 24412B-MUN-CL1.
7-35

Perguntas de reviso
Pergunta: Quais so os benefcios de ter um certificado SSL instalado no servidor AD RMS
quando voc est executando a configurao do AD RMS?
Pergunta: Voc precisa fornecer acesso ao contedo protegido pelo AD RMS
a cinco usurios que so prestadores de servios no afiliados e no so membros
de sua organizao. Qual mtodo voc deve usar para fornecer esse acesso?
Pergunta: Voc deseja impedir que os usurios protejam o contedo do Office PowerPoint
usando modelos do AD RMS. Que etapas voc deve executar para alcanar esse objetivo?
Prtica recomendada:
Antes de implantar o AD RMS, voc deve analisar os requisitos comerciais de sua organizao e criar
os modelos necessrios. Voc deve se reunir com os usurios para inform-los da funcionalidade
do AD RMS e tambm solicitar comentrios sobre os tipos de modelos que eles gostariam de ter
disposio.
Controle estritamente a associao do grupo Superusurios. Os usurios desse grupo podem acessar
todo o contedo protegido. Conceder a associao desse grupo ao usurio d a ele completo acesso
a todo o contedo protegido pelo AD RMS.
8-1
Mdulo 8
Implementao dos Servios de Federao
do Active Directory
Contedo:
Viso geral do mdulo
8-1
Lio 1: Viso geral do AD FS
8-2
Lio 2: Implantao do AD FS
8-12
Lio 3: Implementao do AD FS para uma nica organizao
8-20
Lio 4: Implantao do AD FS em um cenrio de federao B2B
8-27
Laboratrio: Implementao dos Servios de Federao do Active Directory
8-34
8-44
Viso geral do mdulo

Os Servios de Federao do Active Directory (AD FS) no Windows Server 2012 oferecem flexibilidade
para as organizaes que desejam permitir que seus usurios faam logon em aplicativos que podem
estar localizados na rede local, em uma empresa parceira ou em um servio online. Com o AD FS, uma
organizao pode gerenciar suas prprias contas de usurio e os usurios precisam lembrar apenas
de um conjunto de credenciais. Porm, essas credenciais podem ser usadas para fornecer acesso
a uma variedade de aplicativos que podem estar localizados em diversos locais.
Este mdulo apresenta uma viso geral do AD FS e detalha como configurar o AD FS em um cenrio
de organizao nica e em um cenrio de organizao do parceiro.
Objetivos
Descrever o AD FS.
Explicar como configurar os pr-requisitos do AD FS e implantar seus servios.
Descrever como implementar o AD FS para uma nica organizao.
Implantar o AD FS em um cenrio de federao B2B.
8-2
Implementao dos Servios de Federao do Active Directory
Lio 1
Viso geral do AD FS
AD FS a implementao da Microsoft de uma estrutura de federao de identidade que permite que as
organizaes estabeleam relaes de confiana de federao e compartilhem recursos dentro dos limites
organizacionais e dos Servios de Domnio Active Directory (AD DS). O AD FS compatvel com padres
de servios Web comuns, para habilitar a interoperabilidade com solues de federao de identidade
oferecidas por outros fornecedores.
O AD FS foi projetado para abordar vrios cenrios comerciais, nos quais os mecanismos de autenticao
tpicos usados em uma organizao nica no funcionam. Esta lio apresenta uma viso geral dos
conceitos e padres implementados no AD FS e tambm os cenrios comerciais que podem ser
abordados com o AD FS.
Objetivos da lio
Descrever a federao de identidade.
Descrever a identidade baseada em declaraes.
Descrever servios Web.
Descrever o AD FS.
Explicar como o AD FS permite logon nico (SSO) dentro de uma organizao nica.
Explicar como o AD FS permite SSO entre parceiros comerciais.
Explicar como o AD FS permite SSO entre servios locais e baseados na nuvem.
O que Federao de Identidade?

A federao de identidade permite a distribuio
de identificao, autenticao e autorizao
dentro dos limites organizacionais e de
plataforma. Voc pode implementar a federao
de identidade dentro de uma organizao nica
para permitir o acesso a aplicativos Web diversos
ou entre duas organizaes que tm uma relao
de confiana entre elas.
Para estabelecer uma parceria de federao de
identidade, ambos os parceiros concordam em
criar uma relao de confiana federada. Essa
confiana federada se baseia em uma relao
comercial contnua e permite que as organizaes implementem processos comerciais identificados
na relao comercial.
Observao: Uma relao de confiana federada no igual a uma relao de confiana
de floresta que organizaes podem configurar entre florestas do AD DS. Em uma relao de
confiana federada, os servidores AD DS em duas organizaes nunca tm que se comunicar
diretamente. Alm disso, toda a comunicao em uma implantao de federao ocorre sobre
HTTP, portanto, voc no precisa abrir vrias portas em algum firewall para habilitar a federao.
8-3
Como parte da relao de confiana federada, cada parceiro define quais recursos esto acessveis
outra organizao e como o acesso aos recursos habilitado. Por exemplo, para atualizar uma previso
de vendas, um representante de vendas talvez precise coletar informaes do banco de dados de um
fornecedor hospedado na rede do fornecedor. O administrador do domnio para o representante de
vendas responsvel por assegurar que os representantes de vendas apropriados sejam membros do
grupo que requer acesso ao banco de dados do fornecedor. O administrador da organizao onde o
banco de dados est localizado responsvel por assegurar que os funcionrios do parceiro tenham
acesso apenas aos dados de que necessitam.
Em uma soluo de federao de identidade, as identidades de usurio e suas credenciais associadas
so armazenadas, pertencentes e gerenciadas pela organizao onde o usurio est localizado. Como
parte da relao de confiana de federao de identidade, cada organizao define tambm como as
identidades de usurio so compartilhadas com segurana para restringir o acesso aos recursos. Cada
parceiro deve definir os servios que torna disponveis para parceiros e clientes confiveis e em quais
outras organizaes e usurios confia. Cada parceiro tambm deve definir que tipos de credenciais e
solicitaes aceita e suas polticas de privacidade para assegurar que informaes privadas no fiquem
acessveis na relao de confiana.
Voc tambm pode usar a federao de identidade dentro de uma organizao nica. Por exemplo,
uma organizao pode planejar implantar vrios aplicativos baseados na Web que requerem
autenticao. Usando o AD FS, a organizao pode implementar uma soluo de autenticao para
todos os aplicativos, facilitando o acesso ao aplicativo para os usurios em vrios domnios internos ou
florestas. Voc tambm pode estender a soluo a parceiros externos no futuro, sem alterar o aplicativo.
O que a identidade baseada em declaraes?

A autenticao baseada em declaraes foi
criada para abordar problemas por meio da
extenso dos mecanismos tpicos de autenticao
e autorizao fora dos limites associados a
esses mecanismos. Por exemplo, na maioria das
organizaes, quando os usurios fazem logon
na rede, eles so autenticados por um controlador
de domnio do AD DS. Um usurio que fornece
as credenciais certas ao controlador de domnio
recebe um token de segurana. Os aplicativos
em execuo em servidores no mesmo ambiente
do AD DS confiam nos tokens de segurana
fornecidos pelos controladores de domnio do AD DS, pois os servidores podem se comunicar com
os mesmos controladores de domnio em que os usurios foram autenticados.
O problema com esse tipo de autenticao que ela no se estende facilmente para fora dos limites da
floresta do AD DS. Embora seja possvel implementar a autenticao Kerberos ou relaes de confiana
baseadas em NTLM entre duas florestas do AD DS, os computadores cliente e os controladores de
domnio em ambos os lados da relao de confiana devem se comunicar com os controladores de
domnio na outra floresta para tomar decises sobre autenticao e autorizao. Essa comunicao
requer trfego de rede que enviado em vrias portas, portanto, essas portas devem estar abertas
em todos os firewalls entre os controladores de domnio e outros computadores. O problema fica
ainda mais complicado quando os usurios tm acesso a recursos hospedados em sistemas baseados
na nuvem, como o Windows Azure ou o Microsoft Office 365.
8-4
A autenticao baseada em declaraes fornece um mecanismo para separar a autenticao de usurio

e a autorizao de aplicativos individuais. Com a autenticao baseada em declaraes, os usurios
podem se autenticar em um servio de diretrio localizado dentro de sua organizao e podem receber
uma declarao baseada nessa autenticao. A declarao pode ser apresentada a um aplicativo que
esteja em execuo em uma organizao diferente. O aplicativo criado para permitir o acesso do
usurio s informaes ou recursos, com base nas declaraes apresentadas. Toda a comunicao
tambm ocorre sobre HTTP.
A declarao usada na autenticao baseada em declaraes uma instruo sobre um usurio definido
em uma organizao ou tecnologia e na qual outra organizao ou tecnologia confia. A declarao
pode incluir vrias informaes. Por exemplo, a declarao pode definir o endereo de email do usurio,
o nome UPN e informaes sobre grupos especficos aos quais o usurio pertence. Essas informaes
so coletadas do mecanismo de autenticao quando o usurio autenticado com xito.
A organizao que gerencia o aplicativo define quais tipos de declaraes sero aceitados pelo aplicativo.
Por exemplo, o aplicativo pode exigir o endereo de email do usurio para verificar a identidade
do usurio e, em seguida, pode usar a associao de grupo apresentada dentro da declarao
para determinar qual nvel de acesso o usurio deve ter dentro do aplicativo.
Viso geral de servios Web

Para que a autenticao baseada em
declaraes funcione, as organizaes
precisam concordar com o formato de
troca de declaraes. Em vez de cada
empresa definir esse formato, um conjunto
de especificaes identificado amplamente
como servios web foi desenvolvido. Qualquer
organizao interessada em implementar uma
soluo de identidade federada pode usar esse
conjunto de especificaes.
Os servios Web so um conjunto
de especificaes usadas para criar aplicativos
e servios conectados, cuja funcionalidade e as interfaces so expostas a usurios potenciais por meio de
padres de tecnologia da Web, como XML, SOAP, WSDL (Web Services Description Language) e HTTP(S).
O objetivo de criar aplicativos Web usando servios Web simplificar a interoperabilidade para aplicativos
em vrias plataformas de desenvolvimento, tecnologias e redes.
Para aprimorar a interoperabilidade, os servios Web so definidos por um conjunto de padres do setor.
Os servios Web se baseiam nos padres seguintes:
A maioria dos servios Web usa o XML para transmitir dados por HTTP(S). Com o XML, os
desenvolvedores podem criar suas prprias marcas personalizadas, facilitando a definio,
a transmisso, a validao e a interpretao de dados entre aplicativos e entre organizaes.
Os servios Web expem funcionalidade til a usurios da Web por meio de um protocolo da
Web padro. Na maioria dos casos, o protocolo usado o SOAP, que o protocolo de comunicao
para servios Web XML. O SOAP uma especificao que define o formato XML para mensagens
e, basicamente, descreve a aparncia de um documento XML vlido.
Os servios Web oferecem um modo de descrever as interfaces detalhadamente para permitir

que um usurio compile um aplicativo cliente para se comunicar com o servio. Essa descrio
normalmente fornecida em um documento XML chamado documento WSDL. Em outras
palavras, um arquivo WSDL um documento XML que descreve um conjunto de mensagens
SOAP e como as mensagens so trocadas.
Os servios Web so registrados de forma que usurios potenciais possam localiz-los facilmente.
Isso feito com UDDI. Uma entrada de diretrio UDDI um arquivo XML que descreve uma
empresa e os servios que ela oferece.
8-5
Especificaes de segurana WS*

As especificaes de servios Web (tambm conhecidas como especificaes WS-*) tm muitos
componentes. Porm, as especificaes mais pertinentes para um ambiente AD FS so as especificaes
de WS-Security. As especificaes que fazem parte das especificaes de WS-Security incluem as
seguintes:
WS-Security - Segurana de Mensagem SOAP e Perfil de Token de Certificado X.509. A Segurana

WS descreve os aprimoramentos s mensagens SOAP. Esses aprimoramentos fornecem integridade
de mensagem, confidencialidade de mensagem e autenticao de mensagem nica. A WS-Security
tambm oferece um mecanismo geral,embora extensvelpara associao de tokens de segurana
a mensagens e um mecanismo para codificar tokens de segurana binriosespecificamente
certificados X.509 e tquetes Kerberosem mensagens SOAP.
WS-Trust. O WS-Trust define as extenses criadas com base no WS-Security para solicitar e emitir
tokens de segurana e gerenciar relaes de confiana.
WS-Federation. O WS-Federation define mecanismos que o WS-Security pode usar para habilitar
a identidade baseada em atributo, a autenticao e a federao de autorizao em realms
de confiana diferentes.
Perfil de solicitante passivo de WS-Federation. Essa extenso do WS-Security descreve como clientes
passivos, como navegadores da Web, podem adquirir tokens de um servidor de Federao e como
os clientes podem enviar tokens a um servidor de Federao. Os solicitantes passivos desse perfil
so limitados ao protocolo HTTP ou HTTPS.
Perfil de solicitante ativo de WS-Federation. Essa extenso do WS-Security descreve como

os clientes ativos, como aplicativos de dispositivos mveis baseados em SOAP, podem ser
autenticados e autorizados e como os clientes podem enviar declaraes em um cenrio
de federao.
SAML (Security Assertion Markup Language)

O SAML (Security Assertion Markup Language) um padro baseado em XML para a troca de declaraes
entre um provedor de identidade e um provedor de servio ou aplicativo. O SAML pressupe que um
usurio foi autenticado por um provedor de identidade e que o provedor de identidade preencheu
as informaes de declarao apropriadas no token de segurana. Quando o usurio autenticado,
o provedor de identidade transmite uma assero de SAML ao provedor de servios. Com base nesta
assero, o provedor de servios pode tomar decises de autorizao e personalizao dentro de
um aplicativo. A comunicao entre servidores de federao se baseia em um documento XML
que armazena o certificado X.509 para assinatura de token e o token SAML 1.1 ou SAML 2.0.
8-6
O que o AD FS?
AD FS a implementao da Microsoft de uma
soluo de federao de identidade que usa
autenticao baseada em declaraes. O AD FS
fornece os mecanismos para implementar tanto os
componentes do provedor de identidade quanto
do provedor de servios em uma implantao de
federao de identidade.
O AD FS oferece os seguintes recursos:
Provedor de declaraes corporativo para

aplicativos baseados em declaraes. Voc
pode configurar um servidor AD FS como
um provedor de declaraes, o que significa
que pode emitir declaraes sobre usurios autenticados. Isso permite a uma organizao fornecer
a seus usurios acesso para aplicativos com reconhecimento de declaraes em outra organizao
usando SSO.
Provedor de Servio de Federao para federao de identidade entre domnios. Esse servio oferece
SSO da Web federado entre domnios, aprimorando a segurana e reduzindo a sobrecarga para
administradores e TI.
Observao: A verso do Windows Server 2012 do AD FS foi criada com base no AD FS

verso 2.0, que a segunda gerao do AD FS lanada pela Microsoft. A primeira verso, AD FS
1.0, exigia a instalao de agentes da Web AD FS em todos os servidores Web que usavam AD FS
e fornecia tanto a autenticao com reconhecimento de declaraes quanto baseada em token
NT. O AD FS 1.0 no oferecia suporte a clientes ativos, mas oferecia suporte a tokens SAML.
Recursos do AD FS
Alguns dos recursos chave do AD FS so mostrados a seguir:
SSO da Web. Muitas organizaes implantaram o AD FS. Aps a autenticao para o AD DS por
meio da autenticao Integrada do Windows, os usurios podem acessar todos os outros recursos
que tm permisso para acessar dentro dos limites da floresta do AD DS. O AD FS estende esse
recurso para aplicativos voltados para intranet ou Internet, permitindo que os clientes, os parceiros
e os fornecedores tenham uma experincia de usurio semelhante e simplificada quando acessam
os aplicativos Web de uma organizao.
Interoperabilidade de servios Web. O AD FS compatvel com as especificaes de servios

Web. O AD FS emprega a especificao de federao de WS-*, denominada WS-Federation.
O WS-Federation permite que os ambientes que no usam o modelo de identidade do
Windows realizem a federao com ambientes do Windows.
8-7
Suporte a cliente passivo e inteligente. Como o AD FS se baseia na arquitetura WS-*, ele oferece
suporte a comunicaes federadas entre qualquer ponto de extremidade habilitado para WS,
incluindo comunicaes entre servidores e clientes passivos, como navegadores. O AD FS no
Windows Server 2012 tambm permite o acesso para clientes inteligentes baseados no SOAP,
como servidores, celulares, PDAs (assistentes pessoais digitais) e aplicativos de rea de trabalho.
O AD FS implementa o Perfil de Solicitante Passivo de WS-Federation e alguns dos padres
do Perfil de Solicitante Ativo de WS-Federation para suporte ao cliente.
Arquitetura extensvel. O AD FS fornece uma arquitetura extensvel que oferece suporte a vrios
tipos de token de segurana, inclusive tokens SAML e autenticao Kerberos pela autenticao
Integrada do Windows e a capacidade para executar transformaes de declaraes personalizadas.
Por exemplo, o AD FS pode converter de um tipo de token em outro ou adicionar lgica corporativa
personalizada como uma varivel em uma solicitao de acesso. As organizaes podem usar esta
extensibilidade para modificar o AD FS para coexistir com a infraestrutura de segurana atual
e polticas comerciais.
Maior segurana. O AD FS ajuda aumentar a segurana de solues federadas delegando a

responsabilidade do gerenciamento de conta organizao mais prxima do usurio. Cada
organizao individual em uma federao continua gerenciando suas prprias identidades e
capaz de compartilhar com segurana e aceitar identidades e credenciais de outras origens
de membros.
Leitura adicional: Para obter informaes sobre os produtos de federao de identidade

diferentes que podem interoperar com o AD FS e guias passo a passo sobre como configurar
os produtos consulte os Guias Passo a Passo e de Instrues do AD FS 2.0, localizados em
Novos recursos no Windows Server 2012 AD FS

A verso do AD FS fornecida com o Windows Server 2012 inclui vrios novos recursos:
Integrao com o sistema operacional Windows Server 2012. No Windows Server 2012, o AD FS
foi includo como uma funo de servidor que voc pode instalar usando o Gerenciador do Servidor.
Quando voc instalar a funo de servidor, todos os componentes necessrios do sistema operacional
sero instalados automaticamente.
Integrao com Controle de Acesso Dinmico. Quando voc implantar o Controle de Acesso
Dinmico, poder configurar as declaraes de usurio e dispositivo emitidas por meio de
controladores de domnio AD FS. O AD FS pode consumir declaraes do AD DS emitidas pelos
controladores de domnio. Isso significa que o AD FS pode tomar decises de autorizao com
base nas contas de usurio e contas de computador.
Cmdlets do Windows PowerShell para administrao do AD FS. O Windows Server 2012 fornece
vrios novos cmdlets do Windows PowerShell que voc pode usar para instalar e configurar
a funo de servidor AD FS.
8-8
Como o AD FS habilita o SSO em uma organizao nica

Para muitas organizaes, configurar o acesso
a aplicativos e servios talvez no exija uma
implantao do AD FS. Se todos os usurios
forem membros da mesma floresta do AD DS
e se todos os aplicativos estiverem em execuo
em servidores que forem membros da mesma
floresta, normalmente voc poder usar a
autenticao do AD DS para fornecer acesso
ao aplicativo. Porm, h vrios cenrios onde
voc pode usar o AD FS para melhorar a
experincia de usurio habilitando SSO:
Os aplicativos talvez no estejam em

execuo em servidores do Windows ou em qualquer servidor que oferea suporte autenticao do
AD FS ou em servidores do Windows Server que no tenham ingressado no domnio. Os aplicativos
podem exigir SAML ou servios Web para autenticao e autorizao.
Organizaes grandes frequentemente tm vrios domnios e florestas que podem ser os resultados
de fuses e aquisies ou podem se dever a requisitos de segurana. Os usurios em vrias florestas
podem requerer acesso aos mesmos aplicativos.
Os usurios de fora do escritrio talvez precisem de acesso a aplicativos que esto sendo executados
em servidores internos. Os usurios externos talvez estejam fazendo logon nos aplicativos de
computadores que no fazem parte do domnio interno.
Observao: A implementao do AD FS no significa necessariamente que os usurios

no recebem uma solicitao de autenticao quando acessam aplicativos. Dependendo do
cenrio, os usurios podero receber uma solicitao para fornecer suas credenciais. Porm,
os usurios sempre so autenticados com suas credenciais internas no domnio de conta
confivel e nunca precisam se lembrar de credenciais alternativas para o aplicativo. Alm
disso, as credenciais internas nunca so apresentadas para o aplicativo ou para o servidor
AD FS do parceiro.
As organizaes podem usar o AD FS para habilitar SSO nesses cenrios. Como todos os usurios
e o aplicativo esto na mesma floresta do AD DS, a organizao s tem que implantar um nico
servidor de federao. Esse servidor pode operar como o provedor de declaraes para autenticar
solicitaes de usurio e emitir as declaraes. O mesmo servidor tambm a terceira parte
confivel ou o consumidor das declaraes para fornecer autorizao para acesso de aplicativo.
Observao: O slide e a descrio a seguir usam os termos Servio de Federao e Proxy
do Servio de Federao para descrever os servios de funo do AD FS. O servidor de federao
responsvel por emitir declaraes e, neste cenrio, tambm responsvel por consumir as
declaraes. O Proxy do Servio de Federao um componente de proxy recomendado para
implantaes nas quais os usurios fora da rede precisam acessar o ambiente do AD FS. Esses
componentes sero abordados com mais detalhes na prxima lio.
8-9
As etapas a seguir descrevem o fluxo de comunicao neste cenrio.

1.
O computador cliente, localizado fora da rede, deve acessar um aplicativo baseado na Web
no servidor Web. O computador cliente envia uma solicitao de HTTPS ao servidor Web.
2.
O servidor Web recebe a solicitao e identifica se o computador cliente no tem uma declarao.
O servidor Web redireciona o computador cliente ao Proxy do Servio de Federao.
3.
O computador cliente envia uma solicitao de HTTPS ao Proxy do Servio de Federao.

Dependendo do cenrio, o Proxy do Servio de Federao pode solicitar a autenticao do
usurio ou utilizar a autenticao Integrada do Windows para coletar as credenciais do usurio.
4.
O Proxy do Servio de Federao transmite a solicitao e as credenciais ao servidor de federao.
5.
O servidor de federao usa o AD DS para autenticar o usurio.
6.
Se autenticao for bem-sucedida, o servidor de federao coletar informaes do AD DS sobre

o usurio, que sero usadas para gerar as declaraes do usurio.
7.
Se a autenticao for bem-sucedida, as informaes sobre autenticao e outras informaes

sero coletadas em um token de segurana e transmitidas de volta ao computador cliente,
por meio do Proxy do Servio de Federao.
8.
Em seguida, o cliente apresenta o token ao servidor Web. O recurso da Web recebe a solicitao,
valida os tokens assinados e usa as declaraes no token do usurio para fornecer acesso
ao aplicativo.
Como o AD FS habilita o SSO em uma federao B2B

Um dos cenrios mais comuns para implantar
o AD FS fornecer SSO em uma federao B2B.
No cenrio, a organizao que requer acesso
ao aplicativo de outra organizao ou servio
pode gerenciar as prprias contas de usurio
e definir os prprios mecanismos de autenticao.
A outra organizao pode definir quais
aplicativos e servios so expostos aos usurios
fora da organizao e quais declaraes aceita
para fornecer acesso a esses aplicativos e servios.
Para permitir o compartilhamento de aplicativos
ou servios neste cenrio, as organizaes tm
que estabelecer uma relao de confiana de federao e depois definir as regras para trocar declaraes
entre as duas organizaes.
O slide para este tpico demonstra o fluxo de trfego em um cenrio de B2B federado que usa um
aplicativo da Web com reconhecimento de declaraes. Neste cenrio, os usurios na Trey Research
tm que acessar um aplicativo baseado na Web na A. Datum Corporation. O processo de autenticao
do AD FS para este cenrio o seguinte:
1.
Um usurio na Trey Research usa um navegador da Web para estabelecer uma conexo HTTPS
com o servidor Web na A. Datum Corporation.
2.
O aplicativo Web recebe a solicitao e verifica se o usurio no tem um token vlido armazenado
em um cookie pelo navegador Web. Como o usurio no foi autenticado, o aplicativo Web
redireciona o cliente ao servidor de federao na A. Datum (usando uma mensagem de
redirecionamento HTTP 302).
8-10 Implementao dos Servios de Federao do Active Directory
3.
O computador cliente envia uma solicitao de HTTPS ao servidor de federao da

A. Datum Corporation. O servidor de federao determina o realm inicial para o usurio.
Nesse caso, o realm inicial Trey Research.
4.
O computador cliente redirecionado novamente ao servidor de federao no realm inicial

do usurio, Trey Research.
5.
O computador cliente envia uma solicitao de HTTPS ao servidor de federao de Trey Research.
6.
Se o usurio j for feito logon no domnio, o servidor de federao poder usar o tquete de
autenticao Kerberos do usurio para solicitar autenticao do AD DS em nome do usurio,
usando a autenticao Integrada do Windows. Se o usurio no tiver feito logon no domnio,
ele receber uma solicitao para informar suas credenciais.
7.
O controlador de domnio do AD DS autentica o usurio e manda de volta a mensagem de xito

ao servidor de federao, junto com outras informaes sobre o usurio que podem ser utilizadas
para gerar as declaraes do usurio.
8.
O servidor de federao cria a declarao para o usurio com base nas regras definidas para o
parceiro de federao. Os dados de declaraes so colocados em um token de segurana assinado
digitalmente e enviados ao computador cliente que os publica novamente no servidor de federao
da A. Datum Corporation.
9.
O servidor de federao da A. Datum Corporation valida se o token de segurana veio de um

parceiro de federao confivel.
10. O servidor de federao da A. Datum Corporation cria e assina um novo token que, em seguida,
envia ao computador cliente e que por sua vez manda de volta o token URL original solicitada.
11. O aplicativo no servidor Web recebe a solicitao e valida os tokens assinados. O servidor Web emite
para o cliente um cookie de sesso que indica que foi autenticado com xito e um cookie persistente
baseado em arquivo emitido pelo servidor de federao (bom durante 30 dias por padro) para
eliminar a etapa de descoberta de realm inicial durante a vida til do cookie. Em seguida, o servidor
fornece acesso ento ao aplicativo, com base nas declaraes fornecidas pelo usurio.
Como o AD FS habilita o SSO com servios online

medida que as organizaes movem
servios e aplicativos para servios baseados
na nuvem, cada vez mais importante que essas
organizaes tenham algum modo de simplificar
a experincia de autenticao e experincia para
seus usurios durante o consumo dos servios
baseados na nuvem. Os servios baseados na
nuvem adicionam outro nvel de complexidade
ao ambiente de ti, pois esto localizados
fora do controle administrativo direto dos
administradores de TI e podem estar em
execuo em muitas plataformas diferentes.
Voc pode usar o AD FS para fornecer uma experincia de SSO aos usurios nas vrias
plataformas baseadas na nuvem que esto disponveis. Por exemplo, aps a autenticao dos
usurios com credenciais do AD DS, eles poderiam acessar os Microsoft Online Services, como
Microsoft Exchange Online ou SharePoint Online hospedado, usando essas credenciais de domnio.
8-11
O AD FS tambm pode fornecer SSO para provedores de nuvem no Microsoft. Como o AD FS se baseia
em padres abertos, ele pode interoperar com qualquer sistema baseado em declaraes compatvel.
O processo para acessar um aplicativo baseado na nuvem bastante semelhante ao cenrio de B2B.
Um exemplo de um servio baseado na nuvem que usa o AD FS para autenticao uma implantao
do Exchange Online hbrida. Nesse tipo de implantao, uma organizao implanta algumas ou todas
as caixas de correio em um ambiente do Microsoft Office 365 e Exchange Online. Porm, a organizao
gerencia todas as contas de usurio no ambiente do AD DS no local. A implantao usa a Ferramenta
de Sincronizao de Diretrios do Microsoft Online Services para sincronizar informaes de conta
do usurio da implantao no local para a implantao do Exchange Online.
Quando os usurios tentam fazer logon na caixa de correio do Exchange Online, eles precisam ser
autenticados com o uso de suas credenciais do AD DS internas. Se os usurios tentarem fazer logon
diretamente no ambiente do Exchange Online, eles sero redirecionados novamente para a implantao
interna do AD FS para autenticao antes de receberem acesso.
As etapas a seguir descrevem o que acontece quando um usurio tenta acessar a caixa de correio
online usando um navegador da Web:
1.
O usurio abre um navegador da Web e envia uma solicitao de HTTPS ao servidor

do Exchange Online Microsoft Outlook Web App.
2.
O servidor do Outlook Web App recebe a solicitao e verifica se o usurio faz parte de
uma implantao do Exchange Server hbrida. Se esse for o caso, o servidor redirecionar
o computador cliente ao servidor de federao do Microsoft Online Services.
3.
O computador cliente envia uma solicitao de HTTPS ao servidor de federao

do Microsoft Online Services.
4.
O computador cliente redirecionado novamente ao servidor de federao no local.

O redirecionamento para o realm inicial do usurio se baseia no sufixo de UPN do usurio.
5.
O computador cliente envia uma solicitao de HTTPS ao servidor de federao no local.
6.
Se o usurio j for feito logon no domnio, o servidor de federao no local poder usar o tquete
de autenticao Kerberos do usurio e solicitar autenticao do AD DS em nome do usurio, usando
a autenticao Integrada do Windows. Se o usurio estiver fazendo logon de fora da rede ou de um
computador que no seja um membro do domnio interno, o usurio receber uma solicitao para
informar as credenciais.
7.
O controlador de domnio do AD DS autentica o usurio e manda de volta a mensagem de xito

ao servidor de federao, junto com outras informaes sobre o usurio que o servidor de federao
poder usar para gerar as declaraes do usurio.
8.
O servidor de federao cria a declarao para o usurio com base nas regras definidas durante
a configurao do servidor do AD FS. Os dados de declaraes so colocados em um token de
segurana assinado digitalmente e enviados ao computador cliente que os publica novamente
no servidor de federao do Microsoft Online Services.
9.
O servidor de federao do Microsoft Online Services valida se o token de segurana veio de um

parceiro de federao confivel. Essa relao de confiana configurada quando voc configura
o ambiente do Exchange Server hbrido.
10. O servidor de federao do Microsoft Online Services cria e assina um novo token que, em
seguida, envia ao computador cliente e que por sua vez manda de volta o token ao servidor
do Outlook Web App.
11. O servidor do Outlook Web App recebe a solicitao e valida os tokens assinados. O servidor emite
para o cliente um cookie de sesso que indica que foi autenticado com xito. Em seguida, o usurio
recebe acesso caixa de correio do Exchange Server.
Lio 2
Implantao do AD FS
Depois que voc entender como o AD FS funciona, a prxima etapa ser a implantao do servio. Antes
de implantar o AD FS, voc deve entender os componentes que precisar implantar e os pr-requisitos
que dever cumprir, particularmente com certificados. Esta lio apresenta uma viso geral da
implantao da funo de servidor do AD FS no Windows Server 2012.
Objetivos da lio
Descrever os componentes que voc pode incluir em uma implantao do AD FS.
Listar os pr-requisitos para uma implantao do AD FS.
Descrever a Infraestrutura de Chave Pblica (PKI) e os requisitos de certificado para a implantao

do AD FS.
Descrever as funes do servidor de federao do AD FS.
Instalar a funo de servidor do AD FS.
Componentes do AD FS
O AD FS instalado como uma funo de servidor
no Windows Server 2012. No entanto, h muitos
componentes diferentes que voc pode instalar
e configurar em uma implantao do AD FS.
A tabela a seguir lista os componentes do AD FS.
Componente
O que ela faz?
Servidor de federao
O servidor de federao emite, gerencia e valida solicitaes que envolvem

declaraes de identidade. Todas as implementaes do AD FS requerem
um Servio de Federao pelo menos para cada floresta participante.
Proxy do servidor
de federao
O proxy do servidor de federao um componente opcional que voc

normalmente implanta em uma rede de permetro. Ele no adiciona
funcionalidade implantao do AD FS, mas implantado apenas para
fornecer uma camada de segurana para conexes da Internet para o
servidor de federao.
Declaraes
Uma declarao uma instruo feita por uma entidade confivel sobre
um objeto como um usurio. A declarao pode incluir o nome do usurio,
o cargo ou qualquer outro fator que possa ser usado em um cenrio de
autenticao. Com o Windows Server 2012, o objeto tambm pode ser um
dispositivo usado em uma implantao de Controle de Acesso Dinmico.
8-13
(continuao)
Componente
O que ela faz?
Regras de declarao
As regras de declarao determinam como as declaraes so processadas

pelos servidores de federao. Por exemplo, uma regra de declarao pode
dizer que um endereo de email aceito como uma declarao vlida ou
que um nome de grupo de uma organizao convertido em uma funo
especfica de aplicativo na outra organizao. As regras normalmente so
processadas em tempo real, medida que as declaraes so feitas.
Repositrio
de atributos
O AD FS usa um repositrio de atributos para procurar valores de

declaraes. O AD DS um repositrio de atributos comum e est
disponvel por padro porque a funo de Servidor de Federao
deve ser instalada em um servidor que ingressou no domnio.
Provedor de
declaraes
O provedor de declaraes o servidor que emite declaraes e autentica

os usurios. Um provedor de declaraes habilita um lado do processo de
autenticao e autorizao do AD FS. O provedor de declaraes gerencia
a autenticao do usurio e emite as declaraes que o usurio apresenta
a uma terceira parte confivel.
Terceira parte
confivel
A terceira parte confivel o local em que o aplicativo est localizado

e habilita o segundo lado do processo de autenticao e autorizao
do AD FS. A terceira parte confivel um servio Web que consome
declaraes do provedor de declaraes. O servidor da terceira parte
confivel deve ter o Microsoft Windows Identity Foundation instalado
ou usar o agente com reconhecimento de declaraes do AD FS 1.0.
Relao de confiana
do provedor de
declaraes
A relao de confiana do provedor de declaraes corresponde aos dados

de configurao que definem regras sob as quais um cliente pode solicitar
declaraes de um provedor de declaraes e, subsequentemente, envi-las
a uma terceira parte confivel. A relao de confiana consiste em vrios
identificadores como nomes, grupos e vrias regras.
Relao de confiana
de terceira parte
confivel
A relao de confiana da terceira parte confivel corresponde aos dados

de configurao do AD FS que fornecem declaraes sobre um usurio ou
cliente a uma terceira parte confivel. Ela consiste em vrios identificadores
como nomes, grupos e vrias regras.
Certificados
O AD FS usa certificados digitais ao se comunicar sobre SSL ou como parte

do processo de emisso de token, do processo de recebimento de token e
do processo de publicao de metadados. Os certificados digitais tambm
so usados para assinatura de token.
Pontos de
extremidade
Os pontos de extremidade so mecanismos do Windows Communication

Foundation (WCF) que permitem o acesso s tecnologias AD FS, incluindo
emisso de token e publicao de metadados. O AD FS fornecido com
pontos de extremidade internos que so responsveis por funcionalidades
especficas.
Observao: Muitos desses componentes so descritos com mais detalhes no restante

deste mdulo.
Pr-requisitos do AD FS
Antes de implantar o AD FS, voc deve
assegurar que sua rede interna atenda a
alguns pr-requisitos bsicos. A configurao
dos servios de rede seguintes essencial para
uma implantao bem-sucedida do AD FS:
Conectividade de rede. A conectividade

de rede seguinte necessria:
o
O computador cliente deve ser capaz

de se comunicar com o aplicativo Web,
o servidor de federao de recurso ou
o proxy do servidor de federao e
o servidor de federao de conta ou
o proxy de federao usando HTTPS.
Os proxies do servidor de federao devem ser capazes de se comunicar com os servidores

de federao na mesma organizao usando HTTPS.
Os servidores de federao e os computadores cliente internos devem ser capazes

de se comunicar com controladores de domnio para autenticao.
AD DS. O AD DS uma parte essencial do AD FS. Os controladores de domnio devem estar

executando o Windows Server 2003 Service Pack 1 (SP1) no mnimo. Os servidores de federao
devem ingressar em um domnio do AD DS. O Proxy do Servio de Federao no tem que
ingressar em um domnio. Embora voc possa instalar o AD FS em um controlador de domnio,
ns no recomendamos isso devido a implicaes de segurana.
Repositrios de atributos. O AD FS usa um repositrio de atributos para compilar informaes

de declaraes. O repositrio de atributos contm informaes sobre usurios, que so extradas
do repositrio pelo servidor do AD FS aps a autenticao do usurio. O AD FS oferece suporte
aos repositrios de atributos seguintes:
o
ADAM (Active Directory Application Mode) no Windows Server 2003
Active Directory Lightweight Directory Services (AD LDS) no Windows Server 2008,
Windows Server 2008 R2 e Windows Server 2012
Microsoft SQL Server 2005 (todas as edies)
SQL Server 2008 (todas as edies)
Um repositrio de atributos personalizado
Observao: O AD DS pode ser usado tanto como provedor de autenticao quanto

como um repositrio de atributos. O AD FS tambm pode usar o AD LDS como um repositrio
de atributos. No AD FS 1.x, o AD LDS pode ser usado como um repositrio de autenticao, mas
na verso atual do AD FS, o AD LDS somente pode ser usado como um repositrio de atributos.
8-15
DNS. A resoluo de nomes permite que os clientes localizem servidores de federao.

Os computadores cliente devem resolver os nomes DNS para todos os servidores de federao
ou os farms do AD FS aos quais se conectam e aplicativos Web que o computador cliente est
tentando usar. Se o computador cliente for externo rede, ele dever resolver o nome DNS para o
Proxy do Servio de Federao, no o servidor de federao interno ou farm do AD FS. O Proxy do
Servio de Federao deve resolver o nome do servidor de federao interno ou farm. Se os usurios
internos tiverem acesso ao servidor de federao interno diretamente e se usurios externos tiverem
que se conectar por meio do proxy do servidor de federao, ser necessrio configurar registros
de DNS diferentes nas zonas de DNS internas e externas.
Pr-requisitos do sistema operacional. Voc pode implantar apenas a verso do Windows Server 2012
do AD FS como uma funo de servidor em um servidor do Windows Server 2012.
Requisitos de PKI e certificado

O AD FS foi projetado para permitir que
os computadores se comuniquem de modo
seguro, mesmo que estejam em locais diferentes.
Neste cenrio, a maioria das comunicaes
entre os computadores passa pela Internet.
Para fornecer segurana para o trfego de rede,
todas as comunicaes so protegidas usando
o protocolo SSL. Esse fator significa que
importante escolher corretamente e atribuir
certificados SSL aos servidores do AD FS.
Para fornecer segurana de SSL, os servidores
do AD FS usam certificados como certificados
de comunicao de servio, certificados da assinatura de token e certificados de descriptografia de token.
Certificado SSL
Voc usa um Certificado SSL para proteger as comunicaes com sites que esto sendo executados nos
servidores de federao e nos proxies do servidor de federao. Esse certificado est associado ao site
padro nos servidores de federao. O certificado SSL deve ser gerenciado com o uso do Gerenciador
do IIS (Servidor de Informaes da Internet).
Certificados de comunicao de servio

Os servidores de federao usam um certificado de autenticao de servidor para habilitar a Segurana
de Mensagem WCF. Por padro, esse o mesmo certificado que um servidor de federao usa como
o certificado SSL no IIS. Voc pode escolher qual certificado usar ao configurar a funo de servidor do
AD FS no servidor e pode alterar o certificado atribudo aps a implantao usando o console do AD FS.
Certificados de assinatura de token

O certificado de assinatura de token usado para assinar todos os tokens emitidos por um servidor de
federao. Esse certificado essencial em uma implantao do AD FS, pois a assinatura do token indica
qual servidor de federao emitiu o token. Esse certificado usado pelo provedor de declaraes para
se identificar e usado pela terceira parte confivel para verificar se o token est vindo de um parceiro
de federao confivel.
A terceira parte confivel tambm exige um certificado da assinatura de token para assinar os tokens
que prepara para outros componentes do AD FS, como aplicativos e clientes da Web. Esses tokens
devem ser assinados pelo certificado de assinatura de token da terceira parte confivel a ser validado
pelos aplicativos de destino.
Quando voc configurar um servidor de federao, o servidor atribuir um certificado autoassinado
como o certificado da assinatura de token. Como nenhuma outra parte confia no certificado
autoassinado, voc pode optar por substituir o certificado autoassinado por um certificado confivel.
Como alternativa, voc pode configurar todos os servidores de federao nas organizaes de parceiros
para confiar no certificado autoassinado. Voc pode ter vrios certificados de assinatura de token
configurados no servidor de federao, mas s o certificado primrio usado para assinar tokens.
Certificados de descriptografia de token

Certificados de descriptografia de token so usados para criptografar o token de usurio antes
de transmitir o token na rede. Para fornecer essa funcionalidade, a chave pblica do certificado
de servidor de federao da terceira parte confivel deve ser fornecido ao servidor de federao
do provedor de declaraes. O certificado enviado sem a chave privada. O servidor do provedor
de declaraes usa a chave pblica do certificado para criptografar o token do usurio. Quando o
token devolvido ao servidor de federao da terceira parte confivel, ele usa a chave privada do
certificado para descriptografar o token. Isso fornece uma camada adicional de segurana durante
a transmisso dos certificados pela Internet.
Quando voc configurar um servidor de federao, o servidor atribuir um certificado autoassinado
como o certificado da descriptografia de token. Como nenhuma outra parte confia no certificado
autoassinado, voc pode optar por substituir o certificado autoassinado por um certificado confivel.
Como alternativa, voc pode configurar todos os servidores de federao nas organizaes de
parceiros para confiar no certificado autoassinado.
Observao: Os proxies do servidor de federao requerem apenas um certificado SSL,
que usado para habilitar a comunicao SSL para todas as conexes de cliente. Como o
proxy do servidor de federao no emite nenhum token, ele no precisa dos outros tipos
de certificados. Os servidores Web que so implantados como parte de uma implantao
do AD FS tambm devem ser configurados com certificados do servidor de SSL para habilitar
comunicaes seguras com computadores cliente.
Escolha de uma autoridade de certificao

Os servidores de federao do AD FS podem usar certificados autoassinados, certificados de uma CA
(autoridade de certificao) privada interna ou certificados que foram adquiridos de uma CA pblica
externa. na maioria das implantaes do AD FS, o fator mais importante durante a escolha de certificados
se todas as partes envolvidas confiam nos certificados. Isso significa que se voc estiver configurando
uma implantao do AD FS que interage com outras organizaes, quase certo que usar uma CA
pblica para o certificado de SSL no proxy do servidor de federao, pois os certificados emitidos
pela CA pblica so de confiana para todos os parceiros automaticamente.
8-17
Se voc estiver implantando o AD FS para sua organizao apenas e se todos os servidores e

computadores cliente estiverem sob seu controle, considere usar um certificado de uma CA privada
interna. Se voc implantar uma CA corporativa interna no Windows Server 2012, poder usar a Poltica
de Grupo para assegurar que todos os computadores na organizao confiem automaticamente nos
certificados emitidos pela CA interna. O uso de uma CA interna pode diminuir significativamente
o custo dos certificados.
Observao: A implantao de uma CA interna usando o Servios de Certificados
do Active Directory (AD CS) um processo direto, mas essencial que voc planeje
e faa a implantao atentamente.
Funes do Servidor de Federao

Quando voc instalar a funo de servidor do
AD FS, poder configurar o servidor como um
servidor de federao ou como um proxy do
servidor de federao. Depois de instalar a funo
de servidor de federao, voc pode configurar
o servidor como um Provedor de Declaraes,
uma Terceira Parte Confivel ou ambos. Essas
funes de servidor so as seguintes:
Provedor de declaraes. Um provedor

de declaraes um servidor de federao
que fornece aos usurios tokens assinados
que contm declaraes. Os servidores de
federao do provedor de declaraes so implantados em organizaes nas quais as contas de
usurio esto localizadas. Quando um usurio solicita um token, o servidor de federao do provedor
de declaraes verifica a autenticao de usurio usando o AD DS e coleta informaes de um
repositrio de atributos (como AD DS ou AD LDS), para popular a declarao de usurio com os
atributos necessrios para a organizao de parceiro. O servidor emite tokens no formato SAML.
O servidor de federao do provedor de declaraes tambm protege o contedo de tokens
de segurana em trnsito assinando e criptografando-os opcionalmente.
Terceira Parte Confivel. Uma terceira parte confivel um servidor de federao que recebe tokens
de segurana de um provedor de declaraes confivel. Os servidores de federao da terceira parte
confivel so implantados nas organizaes que fornecem acesso de aplicativo a organizaes de
provedor de declaraes. A terceira parte confivel aceita e valida a declarao e emite novos tokens
de segurana que o servidor Web pode usar para fornecer o acesso apropriado ao aplicativo.
Observao: Um nico servidor do AD FS pode operar como provedor de declaraes

e uma terceira parte confivel, at mesmo com organizaes do mesmo parceiro. O servidor
do AD FS funciona como um provedor de declaraes quando est autenticando os usurios
e fornecendo tokens para outra organizao, mas tambm pode aceitar tokens da mesma
ou de outra organizao em uma funo de terceira parte confivel.
Proxy do Servidor de Federao. Um proxy do servidor de federao fornece um nvel adicional

de segurana ao trfego do AD FS proveniente da Internet aos servidores de federao internos
do AD FS. Os proxies do servidor de federao podem ser implantados no provedor de declaraes
e nas organizaes de terceira parte confivel. No lado do provedor de declaraes, o proxy coleta
as informaes de autenticao de computadores cliente e passa essas informaes ao servidor
de federao do provedor de declaraes para processamento. O servidor de federao emite um
token de segurana ao proxy, que o envia proxy de terceira parte confivel. O proxy do servidor de
federao de terceira parte confivel aceita esses tokens e os transmite para o servidor de federao
interno. O servidor de federao da terceira parte confivel emite um token de segurana para o
aplicativo Web e envia o token ao proxy do servidor de federao que encaminha esse token ao
cliente. O proxy do servidor de federao no fornece nenhum token, nem cria declaraes; apenas
encaminha solicitaes de clientes para servidores internos do AD FS. Toda a comunicao entre
o proxy do servidor de federao e o servidor de federao usa o HTTPS.
Observao: Um proxy do servidor de federao no pode ser configurado como um

provedor de declaraes, nem como uma terceira parte confivel. O provedor de declaraes
e a terceira parte confivel devem ser membros de um domnio do AD DS. O proxy do servidor
de federao pode ser configurado como membro de um grupo de trabalho ou como um
membro de uma floresta de extranet e implantados em uma rede de permetro.
Demonstrao: Instalao da funo de servidor do AD FS

Nesta demonstrao, voc ver como instalar e concluir a configurao inicial da funo de servidor
do AD FS no Windows Server 2012. O instrutor instalar a funo de servidor e executar o Assistente
de Configurao do Servidor de Federao do AD FS para configurar o servidor como um servidor de
federao autnomo.
Observao: Os servidores de federao autnomos devem ser implantados apenas
em ambientes pequenos ou de teste. Uma implantao de servidor autnoma permite a voc
adicionar outro servidor posteriormente para fornecer escalabilidade ou redundncia. Na maioria
dos ambientes de produo, voc deve implantar um farm de servidores, at mesmo se o farm
for conter apenas um nico n.
Instalar a funo de servidor do AD FS
Em LON-DC1, no Gerenciador do Servidor, adicione a funo de servidor Servios de Federao

Configurar a funo de servidor do AD FS

1.
2.
Execute o Assistente de Configurao do Servidor de Federao do AD FS usando

os seguintes parmetros:
o
Criar um novo Servio de Federao
Crie uma implantao autnoma
Use o certificado LON-DC1.Adatum.
Escolha o nome do servio LON-DC1.Adatum.com.
Abra o Windows Internet Explorer e conecte-se a

https://lon-dc1.adatum.com/federationmetadata/2007-06/federationmetadata.xml.
8-19
Lio 3
Implementao do AD FS para uma nica organizao

O cenrio de implantao mais simples para AD FS est dentro de uma organizao nica. Neste cenrio,
um nico servidor do AD FS pode operar tanto como o provedor de declaraes quanto como a
terceira parte confivel. Todos os Usurios neste cenrio so internos organizao, assim como
o aplicativo que os usurios esto acessando.
Esta lio fornece detalhes sobre os componentes necessrios para configurar o AD FS em uma
implantao de organizao nica. Esses componentes incluem declaraes de configurao,
regras de declarao, provedor de declaraes e relaes de confiana de terceira parte confivel.
Objetivos da lio
Descrever as declaraes do AD FS.
Descrever as regras de declarao do AD FS.
Descrever as relaes de confiana do provedor de declaraes.
Descrever as relaes de confiana da terceira parte confivel.
Configurar as relaes de confiana do provedor de declaraes e da terceira parte confivel.
O que so declaraes do AD FS?

As declaraes do AD FS fornecem o link entre as
funes do provedor de declaraes e da terceira
parte confivel em uma implantao do AD FS.
Uma declarao do AD FS uma instruo feita
sobre um determinado assunto (como um usurio)
por uma entidade confivel (como um provedor
de declaraes). O provedor de declaraes cria
as declaraes e a terceira parte confivel as
consome. As declaraes do AD FS proporcionam
um mtodo flexvel e baseado em padres para
as organizaes do provedor de declaraes
fornecerem informaes especficas sobre os
usurios em suas organizaes. As declaraes do AD FS tambm proporcionam um modo para que
as terceiras partes confiveis definam exatamente quais informaes exigem para fornecer acesso de
aplicativo. As informaes de declarao fornecem os detalhes necessrios para que os aplicativos
permitam o acesso a aplicativos com reconhecimento de declaraes.
8-21
Tipos de declaraes
Cada declarao do AD FS tem um tipo, como endereo de email, UPN ou sobrenome. possvel emitir
declaraes baseadas em qualquer tipo de declarao definido para os usurios. Portanto, um usurio
receber uma declarao com um tipo de Sobrenome e, por exemplo, um valor de Weber. O AD FS
fornece vrios tipos de declarao internos. Opcionalmente, voc pode criar novos tipos com base
nos requisitos da organizao.
Observao: No AD FS 1.0, voc pode configurar declaraes como declaraes de
identidade, declaraes de grupo ou declaraes personalizadas. Esses tipos de declarao
no se aplicam ao AD FS 2.0 ou verses mais novas. Basicamente, todas as declaraes so
consideradas personalizadas agora.
Cada tipo de declarao do AD FS identificado por um URI que identifica exclusivamente o tipo
de declarao. Essas informaes so fornecidas como parte dos metadados do servidor do AD FS.
Por exemplo, se a organizao do provedor de declaraes e a organizao da terceira parte confivel
decidirem usar um tipo de declarao de AccountNumber, ambas as organizaes devero configurar
um tipo de declarao com esse nome. O tipo de declarao publicado e o URI do tipo de declarao
deve ser idntico em ambos os servidores do AD FS.
Como os valores de declarao so preenchidos

As declaraes emitidas por um provedor de declaraes contm as informaes necessrias pela terceira
parte confivel para habilitar acesso de aplicativo apropriado. Um das primeiras etapas no planejamento
de uma implantao do AD FS definir exatamente quais informaes os aplicativos devem ter sobre
cada usurio para fornecer acesso ao aplicativo a esse usurio. Quando essas informaes so definidas,
as declaraes so definidas ento no servidor de federao do provedor de declaraes. As informaes
necessrias para popular a declarao podem ser obtidas de vrios modos:
A declarao pode ser recuperada de um repositrio de atributos. Frequentemente, as informaes

necessrias para a declarao j esto armazenadas em um repositrio de atributos que est
disponvel para o servidor de federao. Por exemplo, uma organizao talvez decida que a
declarao deve incluir o UPN do usurio, o endereo de email e associaes a grupos especficas.
Essas informaes j esto armazenadas no AD DS, assim o servidor de federao pode apenas
recuperar essas informaes do AD DS ao criar a declarao. Como o AD FS pode usar AD DS,
AD LDS, SQL Server, um protocolo LDAP no Microsoft ou um repositrio de atributos
personalizado para popular declaraes, voc pode definir praticamente qualquer valor
na declarao.
A declarao pode ser calculada com base nas informaes coletadas. Os servidores de federao
do provedor de declaraes tambm podem calcular as informaes com base nas informaes
obtidas de um repositrio de atributos. Por exemplo, talvez voc queira fornecer informaes
sobre o salrio de uma pessoa dentro de uma declarao. Essas informaes provavelmente so
armazenadas em um banco de dados de Recursos Humanos, mas o valor real pode ser considerado
confidencial. Voc pode definir uma declarao que categoriza salrios dentro de uma organizao
e fazer com que o servidor do AD FS calcule a qual categoria um usurio especfico pertence.
Dessa forma, a declarao inclui apenas as informaes de categoria de salrio, no o salrio
de usurio real.
A declarao pode ser transformada de um valor em outro. Em alguns casos, as informaes

armazenadas em um repositrio de atributos no correspondem exatamente s informaes
necessrias para o aplicativo ao criar informaes de autorizao. Por exemplo, o aplicativo
pode ter funes de usurio diferentes definidas que no correspondem diretamente aos
atributos armazenados em qualquer repositrio de atributos. Porm, a funo de aplicativo
pode estar correlacionada associao de grupo do AD DS. Por exemplo, os usurios no grupo
Vendas podem estar correlacionados a uma funo de aplicativo, enquanto os usurios no grupo
Gerenciamento de Vendas podem estar correlacionados a uma funo de aplicativo diferente.
Para estabelecer a correlao no AD FS, voc pode configurar uma transformao de declaraes
que pega o valor fornecido pelo provedor de declaraes e o converte em uma declarao que
til ao aplicativo na terceira parte confivel.
Se voc implantou o Controle de Acesso Dinmico, uma declarao de dispositivo de Controle

de Acesso Dinmico poder ser transformada em uma declarao do AD FS. Isso pode ser usado
para assegurar que os usurios s possam acessar sites do AD FS de estaes de trabalho
confiveis que para as quais foi emitida uma declarao de dispositivo vlida.
O que so regras de declarao do AD FS?

As regras de declarao definem como
as declaraes so enviadas e consumidas
pelos servidores do AD FS. As regras de
declarao definem a lgica comercial
aplicada s declaraes fornecidas pelos
provedores de declaraes e as declaraes
que so aceitas pelas terceiras partes confiveis.
Voc pode usar as regras de declarao para:
Definir quais declaraes de entrada

so aceitas de um ou mais provedores
de declaraes.
Definir quais declaraes de sada so

fornecidas a uma ou mais terceiras partes confiveis.
Aplicar regras de autorizao para habilitar o acesso a uma terceira parte confivel especfica
para um ou mais usurios ou grupos de usurios.
Voc pode definir dois tipos de regras de declarao:
Regras de declarao para uma relao de confiana de provedor de declaraes. Uma relao
de confiana de provedor de declaraes relao de confiana do AD FS que configurada
entre um servidor do AD FS e um provedor de declaraes. Voc pode configurar regras
de declarao para definir como o provedor de declaraes processa e emite declaraes.
Regras de declarao para uma relao de confiana de terceira parte confivel. Uma relao
de confiana de terceira parte confivel a relao de confiana do AD FS que configurada
entre um servidor do AD FS e uma terceira parte confivel. Voc pode configurar regras
de declarao que definem como a terceira parte confivel aceita declaraes do provedor
de declaraes.
8-23
Regras de declarao em um provedor de declaraes do AD FS so todas as regras de transformao

de aceitao consideradas. Essas regras determinam que tipos de declarao so aceitos do provedor
de declaraes e enviados uma relao de confiana de terceira parte confivel. Ao configurar o AD FS
dentro de uma organizao nica, h uma relao de confiana de provedor de declaraes padro
configurada com o domnio do AD DS local. Esse conjunto de regras define as declaraes que so
aceitas do AD DS.
H trs tipos de regras de declarao para uma relao de confiana de terceira parte confivel:
Regras de transformao de emisso. Essas regras definem as declaraes que so enviadas

terceira parte confivel que foi definida na relao de confiana da terceira parte confivel.
Regras de autorizao de emisso. Essas regras definem quais usurios tm acesso permitido
ou negado terceira parte confivel que foi definida na relao de confiana da terceira parte
confivel. Esse conjunto de regras pode incluir regras que permitem explicitamente o acesso a
uma terceira parte confivel e/ou regras que negam explicitamente o acesso a uma terceira parte
confivel.
Regras de autorizao de delegao. Essas regras definem as declaraes que especificam quais
usurios podem agir em nome de outros usurios ao acessar a terceira parte confivel. Esse conjunto
de regras pode incluir regras que permitem delegados explicitamente para uma terceira parte
confivel ou regras que negam explicitamente delegados para uma terceira parte confivel.
Observao: Uma regra de declarao nica s pode ser associada a uma relao de
confiana federada nica. Isso significa que voc no pode criar um conjunto de regras para
uma relao de confiana e reutilizar essas regras para outras relaes de confiana que voc
configura em seu servidor de federao.
Os servidores do AD FS so pr-configurados com um conjunto de regras padro e vrios modelos
padro que voc pode usar para criar as regras de declarao mais comuns. Voc tambm pode
criar regras de declarao personalizadas usando o idioma da regra de declarao do AD FS.
O que uma relao de confiana de provedor de declaraes?

Uma relao de confiana de provedor
de declaraes configurada no servidor
de federao da terceira parte confivel.
A relao de confiana do provedor de
declaraes identifica o provedor de declaraes
e descreve como a terceira parte confivel
consome as declaraes que o provedor
de declaraes emite. Voc deve configurar
uma relao de confiana do provedor de
declaraes para cada provedor de declaraes.
Por padro, um servidor do AD FS configurado com uma relao de confiana de provedor de

declaraes chamado Active Directory. Essa relao de confiana define as regras de declarao,
que so todas as regras de transformao de aceitao que definem como o servidor do AD FS aceita
credenciais do AD DS. Por exemplo, as regras de declarao padro na relao de confiana do provedor
de declaraes incluem regras que passam os nomes de usurio, SIDs (identificadores de segurana)
SIDs de grupo para a terceira parte confivel. Em uma implantao do AD FS de organizao nica
onde o AD DS autentica todos os usurios, a relao de confiana do provedor de declaraes padro
pode ser a nica relao de confiana do provedor de declaraes necessria.
Quando voc expandir a implantao do AD FS para incluir outras organizaes, dever criar relaes
de confiana de provedor de declaraes adicionais para cada organizao federada de provedor de
identidade. Ao configurar uma relao de confiana de provedor de declaraes, voc tem trs opes:
Importar dados sobre o provedor de declaraes por meio dos metadados de federao. Se o
servidor de federao do AD FS ou o servidor proxy de federao estiver acessvel pela rede do
seu servidor de federao do AD FS, voc poder inserir o nome de host ou URL para o servidor
de federao do parceiro. Seu servidor de federao do AD FS se conecta ao servidor de parceiro
e baixa os metadados de federao do servidor. Os metadados de federao incluem todas as
informaes necessrias para configurar a relao de confiana do provedor de declaraes.
Como parte do download de metadados da federao, seu servidor de federao tambm
baixa o certificado SSL que usado pelo servidor de federao de parceiro.
Importar dados sobre o provedor de declaraes de um arquivo. Use essa opo se o servidor
de federao do parceiro no estiver diretamente acessvel de seu servidor de federao, mas
a organizao de parceiro tiver exportado sua configurao e fornecido as informaes em
um arquivo. O arquivo de configurao deve incluir as informaes de configurao para a
organizao de parceiro e o certificado SSL usado pelo servidor de federao de parceiro.
Configurar manualmente a relao de confiana do provedor de declaraes. Use essa opo se

voc quiser definir todas as configuraes para a relao de confiana do provedor de declaraes
diretamente. Quando escolhe essa opo, voc deve fornecer os recursos aos quais o provedor
de declaraes oferece suporte, a URL usada para acessar os servidores do AD FS do provedor
de declaraes e adicionar o certificado SSL usado pela organizao de parceiro.
O que uma relao de confiana de terceira parte confivel?

Uma relao de confiana de terceira parte
confivel definida no servidor de federao
do provedor de declaraes. A relao de
confiana de terceira parte confivel identifica
a terceira parte confivel e tambm define
as regras de declaraes que definem como
a terceira parte confivel aceita e processa
declaraes do provedor de declaraes.
8-25
Em um cenrio de organizao nica, a relao de confiana de terceira parte confivel define como
o servidor do AD FS interage com os aplicativos implantados no aplicativo. Quando voc configura
a relao de confiana de terceira parte confivel em uma organizao nica, fornece a URL para
o aplicativo interno e define configuraes, por exemplo, se o aplicativo oferece suporte a SAML 2.0
ou se requer tokens do AD FS 1.0, a URL usada pelo servidor Web e as regras de autorizao de emisso
para o aplicativo.
O processo para configurar a relao de confiana de terceira parte confivel semelhante ao da relao
de confiana do provedor de declaraes. Quando voc expandir a implantao do AD FS para incluir
outras organizaes, dever criar relaes de confiana de terceiras partes confiveis adicionais para
cada organizao federada. Ao configurar uma relao de confiana de terceira parte confivel,
voc tem trs opes:
Importar dados sobre a terceira parte confivel por meio dos metadados de federao. Se o servidor
de federao do AD FS ou o servidor proxy de federao estiver acessvel pela rede do seu servidor
de federao do AD FS, voc poder inserir o nome de host ou URL para o servidor de federao
do parceiro. Seu servidor de federao do AD FS se conecta ao servidor de parceiro e baixa os
metadados de federao do servidor. Os metadados de federao incluem todas as informaes
necessrias para configurar a relao de confiana da terceira parte confivel. Como parte do
download de metadados da federao, seu servidor de federao tambm baixa o certificado
SSL que usado pelo servidor de federao de parceiro.
Importar dados sobre a terceira parte confivel de um arquivo. Use essa opo se o servidor de
federao do parceiro no estiver acessvel de seu servidor de federao diretamente. Nesse caso,
a organizao do parceiro pode exportar suas informaes de configurao para um arquivo e
fornec-las a voc. O arquivo de configurao deve incluir as informaes de configurao para
a organizao de parceiro e o certificado SSL usado pelo servidor de federao de parceiro.
Configurar manualmente a relao de confiana do provedor de declaraes. Use essa opo se

voc quiser definir todas as configuraes para a relao de confiana do provedor de declaraes
diretamente.
Demonstrao: Configurao de relaes de confiana do provedor

de declaraes e de terceira parte confivel
Nesta demonstrao, voc ver como configurar relaes de confiana do provedor de declaraes
e de terceira parte confivel. O instrutor mostrar como editar relaes de confiana do provedor
de declaraes do Active Directory padro. O instrutor tambm criar uma nova relao de confiana
de terceira parte confivel e demonstrar como configure essa relao de confiana.
Configurar uma relao de confiana de provedor de declaraes
1.
No console do AD FS, abra Confianas do Provedor de Declaraes, realce o repositrio

do Active Directory e clique em Editar Regras de Declarao.
2.
Na caixa de dilogo Editar Regras de Declarao para Active Directory, na guia Regras de
Transformao de Aceitao, inicie o assistente para Adicionar Regra de Declarao
de Transformao.
3.
Conclua o Assistente para Adicionar Regra de Declarao de Transformao com as seguintes

configuraes:
o
Em Modelo de regra de declarao, clique em Enviar Atributos LDAP como Declaraes.
Atribua um nome regra de declarao Regra de Atributo LDAP de Sada.
Escolha Active Directory como o Repositrio de Atributos.
Em Mapeamento de atributos LDAP para tipos de declarao de sada,

selecione os seguintes valores:
E-Mail-Addresses = Endereo de email
User-Principal-Name = UPN
Configure um aplicativo do Windows Identity Foundation para AD FS

1.
Em LON-SVR1, na tela inicial, inicie o Utilitrio de Federao do Windows Identity Foundation.
2.
Conclua o Assistente de Utilitrio de Federao com as seguintes configuraes:

o
Aponte para o aplicativo de exemplo de arquivo web.config navegando

at C:\Inetpub\wwwroot\AdatumTestApp\web.config.
Especifique uma caixa URI de Aplicativo digitando

https://lon-svr1.adatum.com/AdatumTestApp/.
Selecione a opo Use an existing STS e insira o caminho

Desabilite a validao da cadeia de certificados.
Selecione a opo No encryption.
Configure uma relao de confiana de terceira parte confivel

1.
No console do AD FS, no painel intermedirio, clique em Necessrio: Adicionar uma terceira parte
confivel.
2.
Preencha o Assistente para Adicionar uma Terceira Parte Confivel com as seguintes configuraes:
o
Selecione a opo Importar dados sobre a terceira parte confivel publicados online
ou em uma rede local e digite https://lon-svr1.adatum.com/adatumtestapp.
Especifique um Nome para exibio ADatum Test App.
Selecione a opo Permitir que todos os usurios acessem esta terceira parte confivel.
Verifique se a caixa de seleo Editar Regras de Declarao para ADatum Test App
est selecionada.
8-27
Lio 4
Implantao do AD FS em um cenrio de federao B2B

Um segundo cenrio comum para implementar o AD FS est em um cenrio de federao B2B.
Neste cenrio, os usurios em uma organizao requerem acesso a um aplicativo em outra organizao.
O AD FS neste cenrio habilita o SSO. Desse modo, os usurios sempre fazem logon no ambiente inicial
do AD DS, mas recebem acesso ao aplicativo de parceiro com base nas declaraes adquiridas do
servidor do AD FS local.
A configurao do AD FS em um cenrio de federao B2B bastante semelhante configurao
do AD FS em um cenrio de organizao nica. A diferena primria que agora tanto as relaes
de confiana do provedor de declaraes quanto da terceira parte confivel se referem a organizaes
externas, em vez do AD DS interno ou aplicativo.
Objetivos da lio
Configurar o parceiro de conta em um cenrio de federao B2B.
Configurar o parceiro de recurso em um cenrio de federao B2B.
Explicar como configurar regras de declaraes para um cenrio de federao B2B.
Explicar como a descoberta de realm inicial funciona.
Configurar regras de declaraes.
Configurao de um parceiro de conta

Em um cenrio AD FS de B2B, a terminologia
usada para descrever os dois parceiros envolvidos
na implantao do AD FS ligeiramente diferente.
Neste cenrio, a organizao de provedor de
declaraes tambm chamada de organizao
de parceiro de conta. Uma organizao de
parceiro de conta a organizao na qual as
contas de usurio so armazenadas em um
repositrio de atributos. Um parceiro de
conta gerencia as seguintes tarefas:
Coletar credenciais de usurios que esto

usando um servio baseado na Web e,
em seguida, autenticar essas credenciais.
Construir declaraes para usurios e, em seguida, empacotar as declaraes em tokens de

segurana. Os tokens podem ser apresentados em uma relao de confiana de federao
para obter acesso a recursos de federao localizados na organizao de parceiro de recurso.
Configurao da organizao de parceiro de conta

A configurao da organizao de parceiro de conta para preparar para federao envolve as etapas
seguintes:
1.
Implementar a topologia fsica para a implantao de parceiro de conta. Essa etapa pode incluir
a deciso sobre o nmero de servidores de federao e proxies de servio de federao a serem
implantados e a configurao dos registros e certificados de DNS necessrios.
2.
Adicionar um repositrio de atributos. Use o console do AD FS para adicionar o repositrio de

atributos. Na maioria dos casos, voc usa o repositrio de atributos do Active Directory padro
(que deve ser usado para autenticao), mas tambm pode adicionar outros repositrios de
atributos, se necessrio, para compilar as declaraes de usurio.
3.
Conecte-se a uma organizao de parceiro de recurso criando uma relao de confiana de

terceira parte confivel. O modo mais fcil de fazer isso usar a URL de metadados de federao
fornecida pela organizao de parceiro de recurso. Com essa opo, seu servidor do AD FS coleta
as informaes necessrias para a relao de confiana de terceira parte confivel automaticamente.
4.
Adicionar uma descrio de declarao. A descrio de declarao lista as declaraes que sua
organizao fornece ao parceiro confivel. Essas informaes podem incluir nomes de usurios,
endereos de email, informaes de associao a grupos ou outras informaes de identificao
de um usurio.
5.
Preparar computadores cliente para federao. Isso pode envolver duas etapas:
a.
Adicionar o servidor de federao de parceiro de conta. No navegador de computadores cliente,

adicione o servidor de federao de parceiro de conta lista de Intranet Local. Ao adicionar o
servidor de federao de parceiro de conta lista de Intranet Local nos computadores cliente,
voc habilita a autenticao Integrada do Windows, o que significa que os usurios no recebem
uma solicitao para autenticao se j estiverem conectados no domnio. Voc pode usar GPOs
(Objetos de Poltica de Grupo) para atribuir a URL lista de sites de Intranet Local.
b.
Configurar relaes de confiana de certificados. Essa ser uma etapa opcional que s ser
necessria se um ou mais dos servidores que os clientes acessam no tiver certificados confiveis.
O computador cliente talvez tenha que se conectar aos servidores de federao de conta,
servidores de federao de recurso ou servidores proxy de federao e servidores Web de
destino. Se um desses certificados no for de uma CA pblica confivel, voc poder ter que
adicionar o certificado apropriado ou certificado raiz ao repositrio de certificados nos clientes.
Faa isso usando GPOs.
8-29
Configurao de um parceiro de recurso

A organizao de parceiro de recurso
a terceira parte confivel em um cenrio
de federao B2B. A organizao de parceiro
de recurso o local em que os recursos existem
e so disponibilizados para organizaes
de parceiro de conta. O parceiro de recurso
gerencia as seguintes tarefas:
Aceita tokens de segurana que o servidor

de federao de parceiro de conta gera
e valida.
Consome as declaraes dos tokens de

segurana e fornece novas declaraes a seus
servidores Web depois de tomar uma deciso de autorizao.
Os servidores Web devem ter os servios de funo Windows Identity Foundation ou Agente da Web
com Reconhecimento de Declaraes do AD FS 1.x instalados para externar a lgica de identidade
e aceitar declaraes.
Observao: O Windows Identity Foundation fornece um conjunto de ferramentas de
desenvolvimento consistente que permite que os desenvolvedores integrem a autenticao
baseada em declaraes e autorizao em seus aplicativos. O Windows Identity Foundation
tambm inclui um SDK (Software Development Kit) e aplicativos de exemplo. Use um aplicativo
de exemplo do Windows Identity Foundation no laboratrio deste mdulo.
Configurar a organizao de parceiro de recurso semelhante a configurar a organizao de parceiro
de conta e consiste nas etapas seguintes:
1.
Implementar a topologia fsica para a implantao de parceiro de recurso. As etapas de planejamento

e implementao so iguais s de parceiro de conta, com a adio do planejamento do local e da
configurao do servidor Web.
2.
Adicionar um repositrio de atributos. No parceiro de recurso, o repositrio de atributos usado

para popular as declaraes que so oferecidas ao cliente para apresentar ao servidor Web.
3.
Conecte-se a uma organizao de parceiro de conta criando uma relao de confiana de provedor
de declaraes.
4.
Crie conjuntos de regras de declarao para a relao de confiana de provedor de declaraes.
Configurao regras de declaraes para cenrios B2B

Em uma implantao de organizao nica
do AD FS, talvez seja bem simples criar e
implementar regras de declarao. Em muitos
casos, voc pode precisar fornecer apenas o
nome de usurio ou o nome de grupo coletado
da declarao e apresentado ao servidor Web.
Em um cenrio de B2B, mais provvel que voc
ter que configurar regras de declaraes mais
complicadas para definir o acesso de usurio
entre sistemas muito variados.
As regras de declarao definem como parceiros
de conta (provedores de declaraes) criam
declaraes e como parceiros de recurso (terceiras partes confiveis) consomem declaraes.
O AD FS fornece vrios modelos que voc pode usar ao configurar regras de declarao:
Modelo de regra de Envio de Atributos LDAP como Declaraes. Use este modelo quando voc
selecionar atributos especficos em um repositrio de atributos LDAP para popular declaraes.
Voc pode configurar vrios atributos LDAP como declaraes individuais em uma nica regra de
declarao que cria com base nesse modelo. Por exemplo, voc pode criar uma regra que extraia
os atributos do AD DS sn (sobrenome) e givenName de todos os usurios autenticados e enviar
esses valores como declaraes de sada a serem enviadas a uma terceira parte confivel.
Modelo de regra de Envio de Associao de Grupo como uma Declarao. Use este modelo para
enviar um tipo de declarao especfico e valor de declarao associado baseados na associao
ao grupo de segurana do AD DS do usurio. Por exemplo, voc poder usar esse modelo para criar
uma regra que envia um tipo de declarao de grupo com um valor de SalesAdmin, se o usurio for
membro do grupo de segurana Gerente de Vendas no domnio do AD DS. Essa regra emite apenas
uma nica declarao, com base no grupo do AD DS que voc seleciona como parte do modelo.
Modelo de regra de Passagem ou Filtragem de uma Declarao de Entrada. Use este modelo
para definir restries adicionais nas quais so enviadas declaraes a terceiras partes confiveis.
Por exemplo, talvez voc queira usar um endereo de email de usurio como uma declarao, mas
s encaminhar o endereo de email se o sufixo de domnio no endereo de email for adatum.com.
Ao usar esse modelo, voc passar qualquer declarao extrada do repositrio de atributos ou
pode configurar regras que filtram se a declarao for passada com base em vrios critrios.
8-31
Modelo de regra de Transformao de uma Declarao de Entrada. Use esse modelo para mapear o
valor de um atributo no repositrio de atributos do provedor de declaraes para um valor diferente
no repositrio de atributo da terceira parte confivel. Por exemplo, talvez voc queira fornecer a
todos os membros do departamento de Marketing da A. Datum Corporation acesso limitado a um
aplicativo de compra na Trey Research. Na Trey Research, o atributo usado para definir o nvel de
acesso limitado pode ter um atributo de LimitedPurchaser. Para abordar este cenrio, voc pode
configurar uma regra de declaraes que transforma uma declarao de sada na qual o valor de
Departamento Marketing em uma declarao de entrada na qual o atributo ApplicationAccess
LimitedPurchaser. As regras criadas com base nesse modelo devem ter uma relao um para
um entre a declarao no provedor de declaraes e a declarao no parceiro confivel.
Modelo de regra de Permitir ou Negar Usurios com Base em uma Declarao de Entrada. Esse
modelo s est disponvel quando voc est configurando Regras de Autorizao de Emisso ou
Delegao em uma relao de confiana de terceira parte confivel. Use esse modelo para criar
regras que permitem ou negam acesso pelos usurios para uma terceira parte confivel, com base
no tipo e no valor de uma declarao de entrada. Esse modelo de regra de declarao permite
a voc executar uma verificao de autorizao no provedor de declaraes antes do envio de
declaraes a uma terceira parte confivel. Por exemplo, voc pode usar esse modelo de regra para
criar uma regra que permita apenas que os usurios do grupo Vendas acessem uma terceira parte
confivel, enquanto as solicitaes de autenticao de membros de outros grupos no so enviadas
terceira parte confivel.
Se nenhum dos modelos de regra de declarao internos fornecer a funcionalidade necessria, voc
poder criar regras mais complexas usando o idioma da regra de declarao do AD FS. Ao criar uma
regra personalizada, voc pode extrair informaes de vrios repositrios de atributos e tambm
combinar tipos de declarao em uma nica regra de declarao.
Como a descoberta de realm inicial funciona

Algumas organizaes de parceiro de recurso
que esto hospedando aplicativos com
reconhecimento de declaraes talvez queiram
permitir que vrios parceiros de conta acessem
seus aplicativos. Neste cenrio, quando os
usurios se conectam ao aplicativo Web, deve
haver algum mecanismo para direcion-los
ao servidor de federao do AD FS no domnio
inicial, em vez de para o servidor de federao
de outra organizao. O processo para direcionar
clientes para o parceiro de conta apropriado
chamado descoberta de realm inicial.
A descoberta de realm inicial ocorre depois que o cliente se conecta ao site da terceira parte confivel
e redirecionado para o servidor de federao da terceira parte confivel. Nesse ponto, o servidor de
federao da terceira parte confivel deve redirecionar o cliente ao servidor de federao no realm
inicial do cliente para que o usurio possa ser autenticado. Se houver vrios provedores de declaraes
configurados no servidor de federao de terceira parte confivel, ela dever saber para qual servidor
de federao redirecionar o cliente.
Em um nvel alto, h trs modos nos quais implementar a descoberta de realm inicial:
1.
Pea aos usurios que selecionem seu realm inicial. Com essa opo, quando o usurio
redirecionado ao servidor de federao da terceira parte confivel, o servidor de federao
pode exibir uma pgina da Web solicitando que o usurio identifique para qual empresa eles
trabalha. Quando o usurio seleciona a empresa apropriada, o servidor de federao pode usar
essas informaes para redirecionar o computador cliente ao servidor de federao de incio
apropriado para autenticao.
2.
Modifique o link para o aplicativo Web incluir uma cadeia de caracteres WHR que especifica o
realm inicial do usurio. O servidor de federao da terceira parte confivel usa essa cadeia de
caracteres para redirecionar o usurio automaticamente ao realm inicial apropriado. Isso significa
que o usurio no tem que receber uma solicitao para selecionar o realm inicial, pois a cadeia
de caracteres WHR na URL em que o usurio clica retransmite as informaes necessrias ao
servidor de federao da terceira parte confivel. O link modificado talvez se parea com
o seguinte: https://www.adatum.com/OrderApp/?whr=urn:federation:TreyResearch
Observao: Um das opes disponveis para descoberta de realm inicial com aplicativos
compatveis com SAML 2.0 um perfil de SAML chamado IdPInitiated SSO. Esse perfil de SAML
configura os usurios para acessar o provedor de declaraes local primeiro, que pode preparar
o token do usurio com as declaraes necessrias para acessar o aplicativo Web do parceiro.
A verso do Windows Server 2012 do AD FS no implementa completamente o perfil
IdPInitiated SSO, mas fornece algumas das mesmas funcionalidades implementando
um recurso denominado RelayState.
Leitura adicional: Para obter mais informaes sobre RelayState, consulte
o site de suporte ao RelayState iniciado pelo provedor de identidade localizado
em http://go.microsoft.com/fwlink/?LinkId=270036.
Observao: O processo de descoberta de realm inicial ocorre na primeira vez que o
usurio tenta acessar um aplicativo Web. Depois que o usurio se autenticar com xito, um
cookie de descoberta de realm inicial ser emitido para o cliente para que o usurio no tenha
que passar pelo processo na prxima vez. Esse cookie de descoberta de realm inicial expira
depois de um ms, a menos que o cache de cookie seja desmarcado antes da expirao.
8-33
Demonstrao: Configurao de regras de declaraes

Nesta demonstrao, voc ver como configurar regras de declaraes em uma relao de confiana
de terceira parte confivel que encaminha um nome de grupo como parte da declarao. Voc tambm
ver como configurar uma regra de declaraes que limita o acesso ao aplicativo apenas a membros
de um determinado grupo.
Configurar regras de declaraes
1.
Em LON-DC1, edite a relao de confiana da terceira parte confivel Adatum Test App criando
uma nova Regra de Transformao de Emisso que passa ou filtra uma declarao de entrada.
o
Nomeie a regra como Regra de Envio de Nome de Grupo
Configure a regra para usar um tipo de declarao de entrada de grupo.
2.
Exclua a Regra de Autorizao de Emisso que concede acesso a todos os usurios.
3.
Crie uma nova Regra de Autorizao de Emisso que permite ou nega acesso ao usurio
com base na declarao de entrada Configurar a regra com o seguinte:
4.
5.
Nome: Regra de permisso de grupo de produo
Tipo de declarao de entrada: Grupo
Valor de declarao de entrada: Production
Permitir acesso a usurios com esta declarao de entrada
Crie uma nova Regra de Autorizao de Emisso que permite ou nega acesso ao usurio com
base na declarao de entrada. Configure a regra com o seguinte e clique em Concluir:
o
Nome: Permitir usurios da A Datum
Tipo de declarao de entrada: UPN
Valor de declarao de entrada: @adatum.com
Permitir acesso a usurios com esta declarao de entrada,
Abra as propriedades da regra Permitir usurios da A Datum e examine o idioma da regra

de declaraes.
Laboratrio: Implementao dos Servios de Federao

do Active Directory
Cenrio
A A. Datum Corporation configurou vrias relaes de confiana com outras empresas e clientes.
Algumas dessas empresas de parceiro e clientes devem acessar aplicativos de negcios que esto sendo
executados na rede da A. Datum. Os grupos comerciais na A. Datum desejam fornecer um nvel mximo
de funcionalidade e acesso a essas empresas. Os departamentos de Segurana e Operaes desejam
assegurar que os parceiros e clientes possam acessar apenas os recursos para os quais requerem acesso,
e que a implementao da soluo no aumenta a carga de trabalho significativamente para a equipe
de Operaes. A A. Datum tambm est trabalhando na migrao de algumas partes da infraestrutura
de para servios online, inclusive o Windows Azure e Office 365.
Para satisfazer esses requisitos comerciais, a A. Datum planeja implementar o AD FS. Na implantao
inicial, a empresa planeja usar o AD FS para implementar SSO para usurios internos que acessam
um aplicativo em um servidor Web. A A. Datum tambm entrou em uma parceria com outra empresa,
a Trey Research. Os usurios da Trey Research devem poder acessar o mesmo aplicativo.
Como um dos administradores de rede snior da A. Datum, sua responsabilidade implementar
a soluo AD FS. Como uma prova de conceito, voc planeja implantar um aplicativo de exemplo
com reconhecimento de declaraes e configurar o AD FS para permitir que usurios internos
e da Trey Research acessem o mesmo aplicativo.
Objetivos
Configurar os pr-requisitos do AD FS.
Instalar e configurar o AD FS.
Configurar o AD FS para uma organizao nica.
Configurar o AD FS para parceiros comerciais federados.
Mquinas virtuais
24412B-LON-DC1
24412B-LON-SVR1
24412B-LON-CL1
24412B-MUN-DC1
Nome de Usurio
Senha
Pa$$w0rd
1.

2.
3.
4.
5.
8-35
Faa logon usando as seguintes credenciais:

o
Nome de Usurio: ADATUM\Administrador
Senha: Pa$$w0rd
Repita as etapas 2 a 3 para 24412B-LON-SVR1, 24412B-LON-CL1 e 24412B-MUN-DC1.

a.
Faa logon em 24412B-LON-SVR1 como ADATUM\Administrador.
b.
No faa logon em 24412B-LON-CL1 nessa fase.
c.
Em 24412B-MUN-DC1, faa logon como TREYRESEARCH\Administrador com a senha

Pa$$w0rd.
Exerccio 1: Configurao dos pr-requisitos dos Servios de Federao

do Active Directory
Cenrio
Para implantar o AD FS na A. Datum Corporation, voc deve verificar se todos os componentes
necessrios foram configurados. Voc planeja verificar se o AD CS foi implantado na organizao e
depois configurar os certificados necessrios para o AD FS no servidor AD FS e nos servidores Web.
Voc tambm planeja configurar os encaminhadores de DNS para permitir a comunicao entre
Adatum.com e TreyResearch.net.
1.
Configurar encaminhadores de DNS (Sistema de Nomes de Domnio).
2.
Trocar certificados raiz para permitir relaes de confiana de certificado.
3.
Solicitar e instalar um certificado para o servidor Web.
4.
Associar o certificado ao aplicativo com reconhecimento de declaraes no servidor Web

e verificar o acesso de aplicativo.
Tarefa 1: Configurar encaminhadores de DNS (Sistema de Nomes de Domnio)

1.
Em LON-DC1, crie um novo encaminhador condicional para o domnio TreyResearch.net, usando

o endereo IP do servidor DNS 172.16.10.10.
2.
Em MUN-DC1, crie um novo encaminhador condicional para o domnio Adatum.com, usando

o endereo IP do servidor DNS 172.16.0.10.
Tarefa 2: Trocar certificados raiz para permitir relaes de confiana de certificado

1.
Em LON-DC1, copie MUN-DC1.TreyResearch.net_TreyResearch-MUN-DC1-CA.crt

de \\MUN-DC1.treyresearch.net\certenroll para a pasta Documents.
2.
Crie um novo Console de Gerenciamento Microsoft (MMC) e adicione o Editor de Gerenciamento

de Poltica de Grupo.
3.
Edite o Objeto de Poltica de Grupo de Poltica de Domnio Padro e importe o certificado

raiz confivel para a pasta Autoridades de Certificao Raiz Confivel.
4.
Em MUN-DC1, cope LON-DC1.Adatum.com_Adatum-LON-DC1-CA.crt

de \\LON-DC1.Adatum.com\certenroll para a pasta Documents.
5.
Crie um novo MMC e adicione o snap-in Certificados com foco no Computador Local.
6.
Importe o certificado raiz copiado para a pasta Autoridades de Certificao Raiz Confiveis.
Tarefa 3: Solicitar e instalar um certificado para o servidor Web

1.
Em LON-SVR1, abra o Gerenciador do Servios de Informaes da Internet (IIS).
2.
Solicite um novo certificado de domnio para o servidor usando os parmetros seguintes:
3.
Nome comum: LON-SVR1.adatum.com
Organizao: A. Datum
Unidade organizacional: TI
Cidade/localidade: Londres
Estado/provncia: Inglaterra
Pas/regio: GB
Solicite o certificado de Adatum-LON-DC1-CA.
Tarefa 4: Associar o certificado ao aplicativo com reconhecimento de declaraes

no servidor Web e verificar o acesso de aplicativo
1.
Em LON-SVR1, no IIS, crie uma nova associao de site HTTPS e selecione o certificado recm-criado.
2.
Em LON-DC1, abra o Internet Explorer e conecte-se

a https://lon-svr1.adatum.com/adatumtestapp.
3.
Verifique se voc consegue se conectar ao site, mas recebe um erro de acesso negado 401.
Isso esperado, pois voc ainda no tem o AD FS configurado para autenticao.
4.
Feche o Internet Explorer.
Resultados: Depois de concluir este exerccio, voc ter configurado o encaminhamento de DNS para
permitir a resoluo de nomes entre a A. Datum e a Trey Research e dever ter trocado certificados raiz
entre as duas organizaes. Voc tambm dever ter instalado e configurado um certificado da Web
no servidor de aplicativos.
Exerccio 2: Instalao e configurao do AD FS

Cenrio
Para iniciar a implementao do AD FS, voc planeja instalar o AD FS no controlador de domnio
da A. Datum Corporation e configurar o servidor como um servidor de federao autnomo. Voc
tambm planeja configurar o servidor para usar um certificado de assinatura de token assinado pela CA.
1.
Instalar e configurar o AD FS.
2.
Criar um servidor de federao autnomo usando o Assistente de Configurao de Servidor

de Federao do AD FS.
3.
Verifique se FederationMetaData.xml est presente e contm dados vlidos.
Tarefa 1: Instalar e configurar o AD FS
Em LON-DC1, no Gerenciador do Servidor, adicione a funo de servidor Servios de Federao

8-37
Tarefa 2: Criar um servidor de federao autnomo usando o Assistente

de Configurao de Servidor de Federao do AD FS
Em LON-DC1, execute o Assistente de Configurao do Servidor de Federao do AD FS usando

os seguintes parmetros:
o
Criar um novo Servio de Federao.
Criar uma implantao autnoma.
Use o certificado LON-DC1.Adatum.com.
Escolha um nome do servio de LON-DC1.Adatum.com.
Tarefa 3: Verifique se FederationMetaData.xml est presente e contm dados vlidos

1.
Em LON-CL1, faa logon como Adatum\Brad, usando a senha Pa$$w0rd.
2.
Abra o Internet Explorer.
3.
Em Opes de Internet, adicione https://LON-DC1.Adatum.com e https://LON-SVR1.adatum.com

zona de intranet Local.
4.
Conecte-se a https://lon-dc1.adatum.com/federationmetadata/2007-06/
federationmetadata.xml.
5.
Verifique se o arquivo xml aberto com xito e role por seu contedo.
6.
Resultados: Depois de concluir este exerccio, voc ter instalado e configurado a funo de servidor
AD FS e verificado uma instalao bem-sucedida exibindo o contedo de FederationMetaData.xml.
Exerccio 3: Configurao do AD FS para uma organizao nica

Cenrio
O primeiro cenrio para implementar a o aplicativo AD FS de prova de conceito assegurar que os
usurios internos podem usar SSO para acessar o aplicativo Web. Voc planeja configurar o servidor
AD FS e um aplicativo Web para habilitar este cenrio. Voc tambm deseja verificar se os usurios
internos podem acessar o aplicativo.
1.
Configurar um certificado de assinatura de token para LON-DC1.Adatum.com.
2.
Configurar um uma relao de confiana do provedor de declaraes do Active Directory.
3.
Configurar o aplicativo de declaraes para confiar nas declaraes de entrada executando

o Utilitrio de Federao do Windows Identity Foundation.
4.
Configurar uma relao de confiana de terceira parte confivel para o aplicativo com
reconhecimento de declaraes.
5.
Configurar as regras de declarao para a relao de confiana da terceira parte confivel.
6.
Testar o acesso ao aplicativo com reconhecimento de declaraes.
Tarefa 1: Configurar um certificado de assinatura de token

para LON-DC1.Adatum.com
1.
Em LON-DC1, no prompt do Windows PowerShell, use o comando

set-ADFSProperties AutoCertificateRollover $False para permitir a modificao
dos certificados atribudos.
2.
No console do AD FS, adicione o certificado LON-DC1.Adatum.com como um novo certificado

de assinatura de token. Verifique se o certificado tem o assunto CN=LON-DC1.Adatum.com e
objetivos de Prova a sua identidade para um computador remoto e Garante a identidade
de um computador remoto.
3.
Torne o novo certificado o certificado primrio e remova o certificado antigo.
Tarefa 2: Configurar um uma relao de confiana do provedor de declaraes

do Active Directory
1.
Em LON-DC1, no console do AD FS, v para Confianas do Provedor de Declaraes,

realce o repositrio Active Directory e acesse Editar Regras de Declarao.
2.
Na caixa de dilogo Editar Regras de Declarao para Active Directory, na guia Regras
de Transformao de Aceitao, inicie o Assistente para Adicionar Regra de Declarao
de Transformao e preencha as seguintes configuraes:
3.
Modelo de regra de declarao: Enviar Atributos LDAP como Declaraes
Nome: Regra de Atributo LDAP de Sada
Repositrio de Atributos: Active Directory
Em Mapeamento de atributos LDAP para tipos de declarao de sada, selecione os

seguintes valores:
o
E-Mail-Addresses = Endereo de email
User-Principal-Name = UPN
Display-Name = Nome
Tarefa 3: Configurar o aplicativo de declaraes para confiar nas declaraes

de entrada executando o Utilitrio de Federao do Windows Identity Foundation
1.
Em LON-SVR1, na tela inicial, inicie o Utilitrio de Federao do Windows Identity Foundation.
2.
Conclua o assistente com as seguintes configuraes:

o
Aponte para o arquivo web.config do aplicativo de exemplo do Windows Identity Foundation

apontando para C:\Inetpub\wwwroot\ AdatumTestApp \web.config.
Especifique uma caixa URI de Aplicativo digitando

https://lon-svr1.adatum.com/AdatumTestApp/.
Selecione a opo Use an existing STS e insira um caminho

Selecione a opo No encryption.
8-39
Tarefa 4: Configurar uma relao de confiana de terceira parte confivel

para o aplicativo com reconhecimento de declaraes
1.
Em LON-DC1, no console do AD FS, no painel intermedirio, clique em Necessrio: Adicionar

uma terceira parte confivel.
2.
Preencha o Assistente para Adicionar uma Terceira Parte Confivel com as seguintes configuraes:
o
Selecione a opo Importar dados sobre a terceira parte confivel publicados online
ou em uma rede local e digite https://lon-svr1.adatum.com/adatumtestapp.
Especifique um Nome para exibio de ADatum Test App.
Selecione a opo Permitir que todos os usurios acessem esta terceira parte confivel.
Quando o assistente for concludo, aceite a opo para abrir Editar Regras de Declaraes
para ADatum Test App.
Tarefa 5: Configurar as regras de declarao para a relao de confiana

da terceira parte confivel
1.
Na caixa de dilogo Editar Regras de Declarao para Adatum Test App, na guia Regras
de Transformao de Emisso, escolha adicionar uma regra.
2.
Conclua o Assistente para Adicionar Regra de Declarao de Transformao com as seguintes

configuraes:
3.
Na lista suspensa Modelo de regra de declarao, clique em Passar ou Filtrar uma Declarao
de Entrada.
Nomeie a regra de declarao como Regra de Passagem de Nome de Conta do Windows.
Na lista suspensa Tipo de declarao de entrada, clique em Nome de conta do Windows.
Crie mais trs regras para passar o Endereo de Email, o UPN e a Declarao de tipo de nome.
Tarefa 6: Testar o acesso ao aplicativo com reconhecimento de declaraes

1.
Em LON-CL1, abra o Internet Explorer e conecte-se a https://lon-svr1.adatum.com/

AdatumTestApp/.
2.
Verifique se voc pode acessar o aplicativo.
Resultados: Depois de concluir esse exerccio, voc ter configurado o AD FS para uma organizao
nica. Para fazer isso, voc deve ter configurado um certificado de assinatura de token e uma relao de
confiana de provedor de declaraes para Adatum.com. Voc tambm deve ter configurado o aplicativo
de exemplo para confiar em declaraes de entrada e configurado uma relao de confiana de terceira
parte confivel e regras de declarao associadas. Voc tambm deve ter testado o acesso ao aplicativo
de exemplo do Windows Identity Foundation em um cenrio de organizao nica.
Exerccio 4: Configurao do AD FS para parceiros comerciais federados

Cenrio
O segundo cenrio de implantao permitir que os usurios da Trey Research acessem o aplicativo Web.
Voc planeja configurar a integrao do AD FS na Trey Research com o AD FS na A. Datum Corporation
e, em seguida, verificar se os usurios da Trey Research podem acessar o aplicativo. Voc tambm deseja
confirmar que pode configurar o acesso com base em grupos de usurios. Voc deve assegurar que todos
os usurios da A. Datum e apenas os usurios no grupo Produo na Trey Research possam acessar
o aplicativo.
1.
Adicionar uma relao de confiana do provedor de declaraes para o servidor do AD FS

em TreyResearch.net.
2.
Configurar uma relao de confiana de terceira parte confivel em MUN-DC1 para o aplicativo
com reconhecimento de declaraes da A. Datum.
3.
Verificar o acesso ao aplicativo de teste da A. Datum para usurios da Trey Research.
4.
Configurar regras de declarao para que as relaes de confiana do provedor de declaraes

e da terceira parte confivel permitam acesso apenas para um grupo especfico.
5.
Verifique as restries e a acessibilidade para o aplicativo com reconhecimento de declaraes.
Tarefa 1: Adicionar uma relao de confiana do provedor de declaraes

para o servidor do AD FS em TreyResearch.net
1.
Em LON-DC1, no console do AD FS, expanda Relaes de Confiana, clique em Confianas

do Provedor de Declaraes e clique em Adicionar Confiana do Provedor de Declaraes.
2.
Conclua o Assistente de Relao de Confiana do Provedor de Declaraes com as seguintes

configuraes:
3.
4.
Selecione Importar dados sobre o provedor de declaraes publicados online ou

em uma rede local e insira https://mun-dc1.treyresearch.net como a fonte de dados.
Em Nome para Exibio, digite mun-dc1.treyresearch.net.
Na caixa de dilogo Editar Regras para Declarao para mun-dc1.treyresearch.net,

use os seguintes valores:
o
Adicionar uma Regra para as Regras de Transformao de Aceitao.
Clique em Passar ou Filtrar uma Declarao de Entrada na lista Modelo de regra de entrada.
Use a regra Passar nome de conta do Windows como o nome da regra de declarao.
Escolha Nome de conta do Windows como o tipo de declarao de entrada escolha

Passar todos os valores de declarao.
Conclua a regra.
Em LON-DC1, execute o comando a seguir no Windows PowerShell.

Set-ADFSClaimsProviderTrust TargetName mun-dc1.treyresearch.net
SigningCertificateRevocationCheck None
Observao: Voc s dever desabilitar a verificao de revogao de certificado em

ambientes de teste. Em um ambiente de produo, a verificao de revogao de certificado
deve estar habilitada.
8-41
Tarefa 2: Configurar uma relao de confiana de terceira parte confivel

em MUN-DC1 para o aplicativo com reconhecimento de declaraes da A. Datum
1.
2.
Em MUN-DC1, no console do AD FS, abra o Assistente para Adicionar Relao de Confiana

de Terceira Parte Confivel e preencha-o com as configuraes seguintes:
o
Selecione a opo Importar dados sobre a terceira parte confivel publicada online
ou em uma rede local e digite https:// lon-dc1.adatum.com.
Especifique um Nome para exibio de Adatum TestApp.
Selecione a opo Permitir que todos os usurios acessem essa terceira parte confivel.
Aceite a opo para abrir Editar Regras de Declarao para Adatum TestApp quando o
assistente for concludo.
Na caixa de dilogo de propriedades de Editar Regras de Declarao para Adatum TestApp,

na guia Regras de Transformao de Emisso, clique para adicionar uma regra com as seguintes
configuraes:
o
Na lista de modelos de regra de declarao, clique em Passar ou Filtrar uma declarao

de Entrada.
Na caixa de texto Nome da regra de declarao, digite Regra de Passagem de nome

de conta do Windows.
Escolha Windows account name em Tipo de declarao de entrada.
Escolha Passar todos os valores de declarao.
Conclua as etapas do assistente.
Tarefa 3: Verificar o acesso ao aplicativo de teste da A. Datum para usurios

da Trey Research
1.
Em MUN-DC1, abra o Internet Explorer e conecte-se a

https://lon-svr1.adatum.com/adatumtestapp/.
2.
Selecione mun-dc1.treyresearch.net como o realm inicial e faa logon como TreyResearch\April,

3.
Verifique se voc pode acessar o aplicativo.
4.
Feche o Internet Explorer e conecte-se ao mesmo site. Verifique se dessa vez voc no recebe
uma solicitao para um realm inicial.
Observao: Voc no recebe uma solicitao para informar novamente um realm inicial.
Depois que os usurios selecionarem um realm inicial e forem autenticados por uma autoridade
de realm, eles recebero um cookie _LSRealm emitido pelo servidor de federao de terceira
parte confivel. O tempo de vida padro do cookie 30 dias. Portanto, para fazer logon
vrias vezes, voc deve excluir esse cookie depois de cada tentativa de logon para voltar
a um estado limpo.
Tarefa 4: Configurar regras de declarao para que as relaes de confiana do

provedor de declaraes e da terceira parte confivel permitam acesso apenas para
um grupo especfico
1.
Em MUN-DC1, abra o console do AD FS, acesse a relao de confiana de terceira parte confivel
de Adatum TestApp.
2.
Adicione uma nova Regra de Transformao de Emisso que envia a associao de grupo como uma
declarao. Nomeie a regra como Regra de Permisso de Grupo de Produo, configure o Grupo
de Usurios como Production, configure o tipo de declarao de Sada como Grupo e o valor de
declarao de sada como Production.
3.
Em LON-DC1, no console do AD FS, edite a Regra do Provedor de Declaraes

mun-dc1.treyresearch.net para criar uma nova regra que passa ou filtra uma declarao de entrada
com a regra chamada Regra de Envio de Grupo de Produo. Configure a regra com um tipo
de declarao de entrada de Grupo.
4.
Edite a relao de confiana da terceira parte confivel Adatum Test App criando uma nova Regra
de Transformao de Emisso que passa ou filtra uma declarao de entrada. Nomeie a regra como
Regra de Envio de Nome de Grupo de TreyResearch e configure a regra para usar um tipo
de declarao de entrada de Grupo.
5.
Exclua a Regra de Autorizao de Emisso que concede acesso a todos os usurios.
6.
Crie uma nova Regra de Autorizao de Emisso que permite ou nega acesso ao usurio com base na
declarao de entrada. Configure a regra com o nome Regra de Permisso de Grupo de Produo
de TreyResearch, um Tipo de Declarao de Entrada de Grupo, um Valor de declarao de
entrada de Production e selecione a opo para Permitir o acesso aos usurios com esta
declarao de entrada.
7.
Crie uma nova Regra de Autorizao de Emisso que permite ou nega acesso ao usurio com base
na declarao de entrada. Configure a regra com o nome Temp, um Tipo de declarao de entrada
de UPN, um Valor de declarao de entrada de @adatum.com, selecione a opo para Permitir
o acesso aos usurios com esta declarao de entrada e clique em Concluir.
8.
Edite a regra Temp e copie o idioma da regra de declarao na rea de transferncia.
9.
Exclua a regra Temp.
10. Crie uma nova regra que envia declaraes usando uma regra personalizada chamada Regra
de Acesso do Usurio da ADatum.
11. Clique na caixa Regra personalizada e pressione Crtl + V para colar o contedo da rea de
transferncia na caixa. Edite a primeira URL para corresponder ao texto a seguir e clique em Concluir.
c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", Value =~
"^(?i).+@adatum\.com$"]=> issue(Type =
http://schemas.microsoft.com/authorization/claims/permit, Value =
PermitUsersWithClaim);
8-43
Tarefa 5: Verifique as restries e a acessibilidade para o aplicativo

com reconhecimento de declaraes
1.
Em MUN-DC1, abra o Internet Explorer e conecte-se

a https://lon-svr1.adatum.com/adatumtestapp/.
2.
Verifique se TreyResearch\April no tem mais acesso a A. Datum teste app.
3.
Limpe o histrico de navegao no Internet Explorer.
4.
Conecte-se a https://lon-svr1.adatum.com/adatumtestapp/.
5.
Verifique se TreyResearch\Morgan tem acesso a A. Datum test app. Morgan membro do grupo
Produo.
Resultados: Depois de concluir este exerccio, voc ter configurado uma relao de confiana do
provedor de declaraes para TreyResearch na Adatum.com e uma relao de confiana de terceira parte
confivel para Adatum em TreyResearch.net. Voc verificou acesso ao aplicativo com reconhecimento
de declaraes da A. Datum. Em seguida, voc configurou o aplicativo para restringir o acesso de
TreyResearch para grupos especficos e verificou o acesso apropriado.

Ao concluir o laboratrio, reverta as mquinas virtuais ao estado inicial.
1.
2.
Na lista Mquinas Virtuais, clique com o boto direito do mouse em 24412B-MUN-DC1

3.
4.
Repita as etapas 2 e 3 para 24412B-LON-CL1, 24412B-LON-SVR1, e 24412B-LON-DC1.

Perguntas de reviso
Pergunta: Quais so as vantagens de implantar o AD FS com um aplicativo ou servio
baseado na nuvem?
Pergunta: Em quais circunstncias voc optaria por implantar um servidor proxy de
federao? Em quais circunstncias voc no precisa implantar um servidor proxy
de federao?

Problema comum
Erros de certificado no servidor de federao
Erros de certificado no cliente
Falha do aplicativo cliente na autenticao do AD FS

Pergunta: A Tailspin Toys est implantando um novo aplicativo Web baseado em
declaraes, que precisa estar acessvel aos usurios da Tailspin Toys e aos usurios da
Trey Research. Quais componentes do AD FS voc precisar implantar na Tailspin Toys
para permitir esse nvel de acesso?
Resposta: Voc deve implantar um proxy de servidor de federao. Alm disso, no servidor
de federao Tailspin Toys, ser necessrio configurar a relao de confiana de provedor de
declaraes do Active Directory e criar uma relao de confiana de provedor de declaraes
para a Trey Research. Tambm ser necessrio configurar uma relao de confiana de
terceira parte confivel no servidor de federao da Tailspin Toys para o aplicativo Web.
Pergunta: A Fabrikam, Inc. est examinando os requisitos de AD FS. A empresa deseja usar
um servidor proxy de federao para obter segurana mxima. Atualmente, a Fabrikam tem
uma rede interna com servidores DNS internos e seu DNS voltado para Internet hospedado
por uma empresa de hospedagem. A rede de permetro usa os servidores DNS da empresa
de hospedagem para resoluo de DNS. O que a empresa deve fazer para se preparar para
a implantao?
Resposta: O servidor proxy de federao deve ser capaz de resolver os endereos IP para
o servidor AD FS interno. Portanto, voc precisaria adicionar os servidores AD FS internos a
um arquivo Hosts no servidor proxy de federao ou alterar a maneira como os servidores
de rede de permetro resolvem nomes.
9-1
Mdulo 9
Implementao do Balanceamento de Carga de Rede
Contedo:
Viso geral do mdulo
9-1
Lio 1: Viso geral do NLB
9-2
Lio 2: Configurao de um cluster NLB
9-6
Lio 3: Planejamento de uma implementao do NLB
9-13
Laboratrio: Implementao do Balanceamento de Carga de Rede
9-19
9-24
Viso geral do mdulo

O Balanceamento de Carga de Rede (NLB) um componente de rede do Windows Server. O NLB usa
um algoritmo distribudo para balancear a carga do trfego IP por vrios hosts. Ele ajuda a melhorar
a escalabilidade e a disponibilidade dos servios de negcios crticos baseados em IP. O NLB tambm
fornece alta disponibilidade, porque detecta falhas de host e redistribui automaticamente o trfego
para os hosts sobreviventes.
Para implantar o NLB com eficincia, voc deve compreender sua funcionalidade e os cenrios em que
a implantao apropriada. A atualizao principal para o NLB no Windows Server 2012 a incluso de
um conjunto abrangente dos cmdlets do Windows PowerShell. Esses cmdlets aprimoram a capacidade
de automatizar o gerenciamento dos clusters NLB do Windows Server 2012. O console do Balanceamento
de Carga de Rede, que tambm est disponvel no Windows Server 2008 e no Windows Server 2008 R2,
tambm est presente no Windows Server 2012
Este mdulo apresenta o NLB e mostra como implantar essa tecnologia. Ele aborda tambm as situaes
nas quais o NLB apropriado, como configurar e gerenciar clusters NLB, e como executar as tarefas
de manuteno nos clusters NLB.
Objetivos
Descrever o NLB.
Explicar como configurar um cluster NLB.
Explicar como planejar uma implementao do NLB.
9-2
Lio 1
Viso geral do NLB

Antes de implantar o NLB, necessrio compreender os tipos de cargas de trabalho de servidor nos quais
essa tecnologia de alta disponibilidade apropriada. Se voc no compreender a funcionalidade do NLB,
possivelmente voc a implantar de uma maneira que no atenda aos seus objetivos gerais. Por exemplo,
voc precisa compreender por que o NLB apropriado para aplicativos Web, mas no para os bancos
de dados do Microsoft SQL Server.
Esta lio fornece uma viso geral do NLB e dos recursos novos do NLB no Windows Server 2012. Ela
descreve tambm como o NLB trabalha normalmente, e como ele funciona durante a falha do servidor
e a recuperao do servidor.
Objetivos da lio
Descrever a tecnologia NLB.
Descrever como o NLB funciona.
Explicar como o NLB acomoda as falhas e a recuperao do servidor.
Descrever novos recursos do NLB no Windows Server 2012.
O que o NLB?
O NLB um recurso escalonvel e de alta
disponibilidade que voc pode instalar em
todas as edies do Windows Server 2012.
Uma tecnologia escalonvel na qual voc
pode adicionar outros componentes (nesse
caso, os ns de cluster adicionais) para atender
crescente demanda. Um n em um cluster
NLB do Windows Server 2012 um computador,
fsico ou virtual, que est executando o sistema
operacional Windows Server 2012.
Os clusters NLB do Windows Server 2012 podem
ter entre 2 e 32 ns. Quando voc criar um cluster
NLB, ele criar um endereo de rede virtual e um adaptador de rede virtual. O adaptador de rede virtual
tem um endereo IP e um endereo de controle de acesso mdia (MAC). O trfego de rede para esse
endereo distribudo uniformemente entre os ns do cluster. Em uma configurao de NLB bsica, cada
n em um cluster NLB atender s solicitaes a uma taxa que aproximadamente igual a de todos os
outros ns do cluster. Quando um cluster NLB receber uma solicitao, ele encaminhar essa solicitao
para o n que utilizado menos no momento. Voc pode configurar o NLB para preferir alguns ns
a outros.
O NLB reconhece falhas. Isso significa que, se um dos ns no cluster NLB ficar offline, as solicitaes no
sero mais encaminhadas para esse n, mas os outros ns no cluster continuaro aceitando solicitaes.
Quando o n com falha voltar a atender, as solicitaes de entrada sero redirecionadas at que o trfego
seja balanceado entre todos os ns do cluster.
9-3
Como o NLB funciona

Quando voc configurar um aplicativo para
usar o NLB, os clientes trataro o aplicativo
usando o endereo de cluster NLB, no lugar do
endereo dos ns que participam do cluster NLB.
O endereo de cluster NLB um endereo virtual
compartilhado entre os hosts do cluster NLB.
O NLB direciona o trfego da seguinte maneira:
Todos os hosts do cluster NLB recebem o trfego
de entrada, mas apenas um n no cluster, que
determinado atravs do processo do NLB,
aceitar esse trfego. Todos os outros ns
no cluster NLB removero o trfego.
O n do cluster NLB que aceitar o trfego ser determinado pela configurao das regras de portas e
pelas configuraes de afinidade. Atravs dessas configuraes, voc poder determinar se o trfego que
usa uma porta e um protocolo especficos ser aceito por um n especfico ou se qualquer n do cluster
poder aceitar e responder.
O NLB tambm envia trfego aos ns baseados na utilizao do n atual. O novo trfego direcionado
para os ns que esto sendo menos utilizados. Por exemplo, se voc tiver um cluster de quatro n em
que trs deles estejam respondendo s solicitaes de 10 clientes e um esteja respondendo s solicitaes
de 5 clientes, o n que tem menos clientes receber mais trfego de entrada at que a utilizao seja
mais uniformemente balanceada pelos ns.
Como o NLB lida com as falhas e a recuperao do servidor

O NLB pode detectar a falha dos ns de cluster.
Quando um n de cluster estiver em um estado
de falha, ele ser removido do cluster, e o cluster
no direcionar novo trfego para o n. A falha
detectada por meio de pulsaes. As pulsaes
do cluster NLB so transmitidas a cada segundo
entre os ns de um cluster. Um n ser removido
automaticamente de um cluster NLB se perder
cinco pulsaes consecutivas. As pulsaes so
transmitidas por uma rede que normalmente
diferente da rede que o cliente usa para acessar
o cluster. Quando um n adicionado ou
removido de um cluster, ocorre um processo conhecido como convergncia. A convergncia permite que
o cluster determine sua configurao atual. A convergncia s poder ocorrer se cada n for configurado
com as mesmas regras de porta.
Os ns podem ser configurados para reassociar um cluster automaticamente definindo a configurao
Estado inicial do host nas propriedades do n que usam o Gerenciador de Balanceamento de Carga de
Rede. Por padro, um host que membro de um cluster tentar reassociar esse cluster automaticamente.
Por exemplo, aps aplicar uma atualizao de software, se voc reinicializar um servidor membro de um
cluster NLB, o servidor reassociar o cluster automaticamente depois que o processo de reinicializao
for concludo.
9-4
Os administradores podem adicionar ou remover ns manualmente dos clusters NLB. Quando

um administrador remover um n, eles podero optar por executar a ao Parada ou Interrupo
de descarga. A ao Parada encerra todas as conexes existentes ao n de cluster e interrompe
o servio NLB. A ao Interrupo de descarga bloqueia todas as novas conexes sem encerrar as
sesses existentes. Quando todas as sesses atuais forem encerradas, o servio NLB ser interrompido.
O NLB s pode detectar a falha do servidor; ele no pode detectar a falha do aplicativo. Isso significa que,
se um aplicativo Web apresentar falha, mas o servidor continuar funcionando, o cluster NLB continuar
encaminhando o trfego para o n de cluster que hospeda o aplicativo com falha. Um mtodo para
gerenciar esse problema a implementao de uma soluo de monitoramento como o Microsoft System
Center 2012 - Operations Manager. Com o Operations Manager, voc pode monitorar a funcionalidade
dos aplicativos. Voc tambm pode configurar o Operations Manager para gerenciar um alerta caso
um aplicativo em um n de cluster apresente falha. Um alerta, por sua vez, pode configurar uma ao
corretiva, como reiniciar servios, reiniciar o servidor ou retirar o n do cluster NLB de modo que ele
no receba mais trfego de entrada.
Recurso do NLB no Windows Server NLB 2012

A alterao mais significativa do NLB
no Windows Server 2012 a incluso
do suporte ao Windows PowerShell.
O NetworkLoadBalancingClusters mdulo
contm 35 cmdlets relacionados ao NLB.
Este mdulo disponibilizado em um servidor
quando as Ferramentas de Administrao
de Servidor Remoto do NLB so instaladas.
Os cmdlets do Windows PowerShell tm
os seguintes nomes:
NlbClusterNode. Use para gerenciar um n

de cluster. Inclui os verbos Adicionar, Obter,
Remover, Retomar, Definir, Iniciar, Parar e Suspender.
NlbClusterNodeDip. Use para configurar o IP de gerenciamento dedicado do n de cluster.

Inclui os verbos Adicionar, Obter, Remover e Definir.
NlbClusterPortRule. Use para gerenciar regras de porta. Inclui os verbos Adicionar, Desabilitar,
Habilitar, Obter, Remover e Definir.
NlbClusterVip. Use para gerenciar o IP virtual do cluster NLB. Inclui os verbos Adicionar, Obter,
Remover e Definir.
NlbCluster. Use para gerenciar o cluster NLB. Inclui os termos Obter, Novo, Remover, Retomar,
Definir, Iniciar, Parar e Suspender.
NlbClusterDriverInfo. Fornece informaes sobre o driver de cluster NLB. Inclui o verbo Obter.
NlbClusterNodeNetworkInterface. Use para recuperar informaes sobre o driver de interface

de rede de um n de cluster. Inclui o verbo Obter.
9-5
NlbClusterIpv6Address. Use para configurar o endereo IPv6 do cluster. Inclui o termo Novo.
NlbClusterPortRuleNodeHandlingPriority. Use para definir a prioridade com base em uma regra

de porta. Suporta o verbo Definir.
NlbClusterPortRuleNodeWeight. Use para definir o peso do n com base em uma regra de porta.
Suporta o verbo Definir.
Observao: Para consultar a lista de cmdlets do Windows PowerShell para NLB,

use o comando get-command module NetworkLoadBalancingClusters.
9-6
Lio 2
Configurao de um cluster NLB

Para implantar o NLB com xito, voc deve primeiro compreender os requisitos da respectiva
implantao. Voc tambm deve ter planejado a maneira em que usar as regras de porta e as
configuraes de afinidade para garantir que o trfego para o aplicativo que est sendo hospedado
no cluster NLB seja gerenciado adequadamente.
Esta lio fornece informaes sobre os requisitos de infraestrutura que devem ser considerados antes
de implantar o NLB. Ela fornece tambm informaes importantes sobre como configurar ns e clusters
NLB para atender melhor aos seus objetivos.
Objetivos da lio
Descrever os requisitos de implantao do NLB.
Descrever como implementar o NLB.
Explicar as opes de configurao do NLB.
Explicar como configurar a afinidade e as regras de porta do NLB.
Descrever as consideraes da rede para NLB.
Requisitos de implantao do NLB

O NLB requer que todos os hosts do cluster NLB
residam na mesma sub-rede TCP/IP. Embora as
sub-redes TCP/IP possam ser configuradas para
atravessar vrios locais geogrficos, improvvel
que os clusters NLB atinjam a convergncia
com xito se a latncia entre ns exceder
250 milissegundos (ms). Quando voc estiver
criando geograficamente clusters NLB dispersos,
dever optar por implantar um cluster NLB
em cada site e, em seguida, usar o round robin
do Sistema de Nomes de Domnio (DNS)
para distribuir o trfego entre os sites.
Todos os adaptadores de rede de um cluster NLB devem ser configurados como unicast ou multicast.
Voc no pode configurar um cluster NLB no qual haja uma mistura de adaptadores unicast e multicast.
Ao usar o modo unicast, o adaptador de rede deve oferecer suporte alterao do seu endereo MAC.
Voc s pode usar protocolo TCP/IP com adaptadores de rede que participam de clusters NLB. O NLB
oferece suporte a IPv4 e IPv6. Os endereos IP de servidores que participam de um cluster NLB devem
ser esttico e no devem ser alocados dinamicamente. Quando voc instala o NLB, o protocolo DHCP
desabilitado em cada interface configurada para participar do cluster.
Todas as edies do Windows Server 2012 oferecem suporte ao NLB. A Microsoft oferece suporte a
clusters NLB com ns que esto sendo executados em edies diferentes do Windows Server 2012.
No entanto, como prtica recomendada, os ns de cluster NLB devem ser computadores com
especificaes de hardware semelhantes e que estejam executando a mesma edio do sistema
operacional Windows Server 2012.
9-7
Demonstrao: Implantao do NLB

Esta demonstrao mostra como criar um cluster NLB do Windows Server 2012.
Criao de um cluster NLB do Windows Server 2012
1.
Entre no servidor LON-SVR1 usando a conta ADATUM\Administrador.
2.
No menu Ferramentas, abra o Ambiente de Script Integrado (ISE) do Windows PowerShell.
3.
Digite os seguintes comandos, pressionando Enter aps cada comando:

Invoke-Command -Computername LON-SVR1,LON-SVR2 -command {Install-WindowsFeature
NLB,RSAT-NLB}
New-NlbCluster -InterfaceName "Conexo Local" -OperationMode Multicast ClusterPrimaryIP 172.16.0.42 -ClusterName LON-NLB
Add-NlbClusterNode -InterfaceName "Conexo Local" -NewNodeName "LON-SVR2" NewNodeInterface "Conexo Local"
4.
Abra o Gerenciador de Balanceamento de Carga de Rede no menu Ferramentas e exiba o cluster.
Opes de configurao do NLB

A configurao dos clusters NLB envolve a
especificao de como os hosts do cluster
respondero ao trfego de rede de entrada.
A maneira como o NLB direcionar o trfego
depender da porta e do protocolo que ele
est usando, e se o cliente tem uma sesso
de rede existente com um host no cluster.
Voc pode definir essas configuraes usando as
regras de porta e as configuraes de afinidade.
Regras de porta
Com as regras de porta, voc pode configurar
como o cluster NLB direcionar as solicitaes
a endereos IP e portas especficos. Voc pode carregar o trfego de balanceamento de carga na porta
TCP 80 em todos os ns de um cluster NLB, enquanto direciona todas as solicitaes na porta TCP 25
para um host especfico.
9-8
Para especificar como deseja distribuir as solicitaes entre os ns no cluster, configure um modo
de filtragem ao criar uma regra de porta. Voc pode fazer isso na caixa de dilogo Adicionar/editar
regra de porta, que voc pode usar para configurar um dos seguintes modos de filtragem:
Vrios hosts. Quando voc configurar este modo, todos os ns NLB respondero de acordo com o
peso atribudo a cada n. O peso do n calculado automaticamente, com base nas caractersticas
de desempenho do host. Se um n falhar, outros ns do cluster continuaro respondendo s
solicitaes de entrada. A filtragem de vrios hosts aumenta a disponibilidade e a escalabilidade,
j que voc pode aumentar capacidade adicionando ns, e o cluster continua funcionando caso
ocorra alguma falha no n.
Host nico. Quando voc configurar este modo, o cluster NLB direcionar o trfego para o n que
tem a prioridade mais alta. Caso o n com a prioridade mais alta no esteja disponvel, o host que
recebeu a prxima prioridade mais alta gerenciar o trfego de entrada. As regras de host nico
aumentam a disponibilidade, mas no aumentam a escalabilidade.
Observao: A prioridade mais alta o nmero mais baixo, sendo a prioridade 1 mais alta
que a prioridade 10.
Desabilitar este intervalo de porta. Quando voc configurar esta opo, todos os pacotes deste
intervalo de porta so removido, sem serem encaminhados para nenhum outro n de cluster.
Se voc no desabilitar um intervalo de porta e no houver nenhuma regra de porta existente,
o trfego ser encaminhado para o host com o nmero de prioridade mais baixo.
Voc pode usar os seguintes cmdlets do Windows PowerShell para gerenciar as regras de porta:
Add-NlbClusterPortRule. Use este cmdlet para adicionar uma nova regra de porta.
Disable-NlbClusterPortRule. Use este cmdlet para desabilitar uma regra de porta existente.
Enable-NlbClusterPortRule. Use este cmdlet para habilitar uma regra de porta desabilitada.
Set-NlbClusterPortRule. Use este cmdlet para modificar as propriedades de uma regra

de porta existente.
Remove-NlbClusterPortRule. Use este cmdlet para remover uma regra de porta existente.
Observao: Cada n em um cluster deve ter regras de porta idnticas. A exceo o peso
da carga (no modo vrios hosts e a prioridade de tratamento (no modo de filtro host nico).
Caso contrrio, se as regras de porta no forem idnticas, o cluster no convergir.
Afinidade
A afinidade determina como o cluster NLB distribuir as solicitaes de um cliente especfico.
As configuraes de afinidade s entraro em vigor quando voc estiver usando o modo
de filtragem vrios hosts. Voc pode selecionar entre os seguintes modos de afinidade:
Nenhuma. Neste modo, qualquer n de cluster responde a qualquer solicitao de cliente,

at mesmo se o cliente estiver estabelecendo uma reconexo depois de uma interrupo.
Por exemplo, a primeira pgina da Web em um aplicativo Web poderia ser recuperada do
terceiro n, a segunda pgina da Web do primeiro n, e a terceira pgina da Web do segundo
n. Esse modo de afinidade satisfatrio para aplicativos sem monitorao de estado.
nica. Quando voc usar esse modo de afinidade, um nico n de cluster tratar todas as
solicitaes em um nico cliente. Por exemplo, se o terceiro n em um cluster tratar a primeira
solicitao de um cliente, todas as solicitaes subsequentes tambm sero tratadas por esse n.
Esse modo de afinidade til para aplicativos sem monitorao de estado.
Classe C. Quando voc definir esse modo, um nico n responder a todas as solicitaes de uma
rede de classe C (que usa a mscara de sub-rede 255.255.255.0). Esse modo til para aplicativos
com monitorao de estado em que o cliente est acessando o cluster NLB atravs de servidores
proxy com carga balanceada. Esses servidores proxy tero endereos IP diferentes, mas estaro
no mesmo bloco de sub-rede de classe C (24 bits).
Parmetro de host
Voc configura os parmetros de um host clicando no host no console do Gerenciador de
Balanceamento de Carga de Rede e, em seguida, no menu Host, clicando em Propriedades.
Voc pode definir as seguintes configuraes de host para cada n NLB:
Prioridade. Cada n NLB recebe um valor de prioridade exclusivo. Se nenhuma regra de porta
existente corresponder ao trfego endereado ao cluster, o trfego ser atribudo ao n NLB
que recebeu o valor de prioridade mais baixo.
Endereo IP dedicado. Voc pode usar este parmetro para especificar o endereo que o host
usa para tarefas de gerenciamento remotas. Quando voc configurar um endereo IP dedicado,
o NLB configurar as regras de porta de forma que elas no afetem trfego para esse endereo.
Mscara de sub-rede. Quando voc estiver selecionando uma mscara de sub-rede, verifique
se h bits de host suficientes para oferecer suporte ao nmero de servidores do cluster NLB e a
qualquer roteador que conecta o cluster NLB ao restante da rede organizacional. Por exemplo,
se voc pretende ter um cluster com 32 ns e oferece suporte a duas rotas para o cluster NLB,
ser necessrio definir uma mscara de sub-rede que oferea suporte a 34 bits de host ou mais
por exemplo, 255.255.255.192.
Estado inicial do host. Voc pode usar este parmetro para especificar as aes o host executar
aps uma reinicializao. O estado padro Iniciado far com que o host reingresse o cluster NLB
automaticamente. O estado Suspenso pausa o host, permitindo que voc execute operaes
que requerem vrias reinicializaes sem disparar a convergncia do cluster. O estado Parado
interrompe o n.
9-9
9-10 Implementao do Balanceamento de Carga de Rede
Demonstrao: Configurao das regras de porta e da afinidade do NLB

Configurar a afinidade dos ns de cluster NLB
Configurar regras de porta do NLB
Configurar a afinidade dos ns de cluster NLB
1.
Em LON-SVR2, na barra de tarefas, clique no cone do Windows PowerShell.
2.
No Windows PowerShell, digite cada um dos seguintes comandos, pressionando Enter depois de cada
um deles:
Cmd.exe
Mkdir c:\porttest
Xcopy /s c:\inetpub\wwwroot c:\porttest
Exit
New-Website Name PortTest PhysicalPath C:\porttest Port 5678
New-NetFirewallRule DisplayName PortTest Protocol TCP LocalPort 5678
Configurar as regras de porta do NLB

3.
Em LON-SVR1, abra o Gerenciador de Balanceamento de Carga de Rede.
4.
Remova a regra Tudo.
5.
No Gerenciador de Balanceamento de Carga de Rede, edite as propriedades do cluster LON-NLB.
6.
Adicione uma regra de porta com as seguintes propriedades:
7.
Intervalo de portas: 80 A 80
Protocolos: Ambos
Modo de filtragem: Vrios hosts
Afinidade: Nenhuma
Crie uma regra de porta com as seguintes propriedades:

o
Protocolos: Ambos
Modo de filtragem: Host nico
8.
Edite as propriedades de host de LON-SVR1.
9.
Configure a regra da porta 5678 e defina a prioridade de tratamento para 10.
9-11
Consideraes da rede para o NLB

Quando voc estiver criando uma rede para
oferecer suporte a um cluster NLB, dever
considerar vrios fatores. A deciso principal
se voc deseja configurar o cluster NLB para
usar o modo de operao de cluster Unicast
ou Multicast.
Modo unicast
Quando voc configurar um cluster NLB para
usar o modo unicast, todos os hosts de cluster
usaro o mesmo endereo MAC unicast.
O trfego de sada usa um endereo MAC
modificado que determinado pela configurao
de prioridade do host de cluster. Isso impede que a opo que trata o trfego de sada tenha problemas
com todos os hosts de cluster que usam o mesmo endereo MAC.
Quando voc usar modo unicast com um nico adaptador de rede em cada n, somente os
computadores que usam a mesma sub-rede podero se comunicar com o n que usa o endereo IP
atribudo do n. Se voc precisar executar qualquer tarefa de gerenciamento de n (como estabelecer
uma conexo usando o recurso rea de Trabalho Remota do Windows para aplicar atualizaes de
software), ser necessrio executar essas tarefas de um computador que esteja na mesma sub-rede
TCP/IP do n.
Quando voc usar o modo unicast com dois ou mais adaptadores de rede, um adaptador ser usado
para comunicao dedicada do cluster e o(s) outro(s) adaptador(es) poder(o) ser usado(s) para tarefas
de gerenciamento. Quando voc usar o modo unicast com vrios adaptadores de rede, poder executar
tarefas de gerenciamento de cluster, como estabelecer uma conexo usando o PowerShell Remoto para
adicionar ou remover funes e recursos.
O modo unicast tambm pode minimizar os problemas que ocorrem quando os ns de cluster tambm
hospedam outras funes ou servios no relacionados ao NLB. Por exemplo, o uso do modo unicast
significa que um servidor que participa de um cluster de servidores Web na porta 80 tambm pode
hospedar outro servio, como DNS ou DHCP. Embora isso seja possvel, recomendamos que todos
os ns de cluster tenham a mesma configurao.
Modo multicast
Quando voc configurar um cluster NLB para usar o modo multicast, cada host de cluster mantm seu
endereo MAC original, mas tambm recebe um endereo MAC multicast adicional. Cada n no cluster
recebe o mesmo endereo multicast MAC adicional. O modo multicast requer comutadores de rede
e roteadores que ofeream suporte a endereos MAC multicast.
Multicast IGMP
O modo multicast IGMP uma forma especial de modo multicast que impede que o comutador de
rede seja inundado com o trfego. Quando voc implantar o modo multicast IGMP, o trfego ser
encaminhado apenas atravs das portas de comutador que participam do cluster NLB. O modo
multicast IGMP requer um hardware de comutador que oferea suporte a essa funcionalidade.
Consideraes sobre a rede

Voc pode melhorar o desempenho do cluster NLB n o modo unicast usando redes local virtuais (VLANs)
separadas para trfego de cluster e trfego de gerenciamento. O uso das VLANs segmenta o trfego,
impedindo que o trfego de gerenciamento afete o trfego de cluster. Quando voc hospedar ns NLB
em mquinas virtuais que usam o Windows Server 2012, tambm poder usar a virtualizao de rede
para segmentar o trfego de gerenciamento do trfego de cluster.
9-13
Lio 3
Planejamento de uma implementao do NLB

Quando voc estiver planejando uma implementao do NLB, dever assegurar que os aplicativos que
voc implanta so apropriados para o NLB. Nem todos os aplicativos so adequados para a implantao
em clusters NLB, e importante voc ser capaz de identificar quais deles podem se beneficiar com essa
tecnologia. Tambm necessrio saber quais etapas voc pode executar para proteger o NLB, e estar
familiarizado com as opes que permitem dimensionar o NLB, se o aplicativo hospedado no cluster
NLB precisar de maior capacidade.
Objetivos da lio
Explicar como criar o suporte a aplicativo e armazenamento para NLB.
Descrever as consideraes especiais para a implantao de clusters NLB nas mquinas virtuais.
Descrever as opes que voc pode implementar para proteger o NLB.
Descrever as opes para dimensionar o NLB.
Descrever o mtodo que voc pode usar para atualizar um cluster NLB para o Windows Server 2012.
Criao de suporte a aplicativos e armazenamento para NLB

Como os clientes podem ser redirecionados
para qualquer n em um cluster NLB, cada
n do cluster deve ser capaz de fornecer
uma experincia consistente. Portanto,
quando voc estiver criando suporte a aplicativo
e armazenamento para aplicativos NLB, dever
assegurar que configurou cada n da mesma
maneira, e que cada n tem acesso aos mesmos
dados.
Quando um aplicativo altamente disponvel
tiver vrias camadas, como um aplicativo Web
com uma camada de banco de dados SQL Server,
a camada de aplicativo Web ser hospedada em um cluster NLB. O SQL Server, como um aplicativo
com monitorao de estado, no altamente disponibilizado por meio do NLB. Em vez disso, voc
usa tecnologias como cluster de failover, espelhamento ou Grupos de Disponibilidade AlwaysOn,
para tornar a camada de banco de dados SQL Server altamente disponvel.
Todos os hosts em um cluster NLB devem executar os mesmos aplicativos e serem configurados
da mesma maneira. Quando voc estiver usando aplicativos Web, poder usar a funcionalidade
de configurao compartilhada dos Servios de Informaes da Internet (IIS) 8.0 para assegurar
que todos os ns do cluster NLB esto configurados da mesma maneira.
Voc tambm pode usar tecnologias, como compartilhamentos de arquivos hospedados nos
Volumes Compartilhados do Cluster (CSVs) para hospedar informaes de configurao de aplicativo.
Os compartilhamentos de arquivos hospedados nos CSVs permitem que vrios hosts tenham acesso
a dados de aplicativos e informaes de configurao. Os compartilhamentos de arquivos hospedados
nos CSVs so um recurso do Windows Server 2012.
Consideraes sobre a implantao de um cluster NLB

em mquinas virtuais
Como as organizaes fazem a transio
de implantaes fsicas para virtuais, os
administradores devem considerar vrios
fatores ao determinar o posicionamento dos
ns de cluster NLB nos hosts Hyper-V. Isso
inclui a configurao de rede das mquinas
virtuais, a configurao dos hosts Hyper-V
e os benefcios do uso dos recursos de alta
disponibilidade do Hyper-V em conjunto
com o NLB.
Posicionamento de mquina virtual?

Voc deve posicionar os ns de cluster NLB em
discos rgidos separados no host do Hyper-V. Desse modo, se um disco ou matriz de disco falhar, mesmo
que um n fique indisponvel, outros ns de cluster NLB hospedados no mesmo host do Hyper-V
permanecero online. Como prtica recomendada, voc deve configurar o host do Hyper-V com
hardware redundante, incluindo discos redundantes, adaptadores de rede e fontes de alimentao. Isso
minimizar as chances de uma falha de hardware no host do Hyper-V fazer com que todos os ns em um
cluster NLB fiquem indisponveis. Quando voc estiver usando vrios adaptadores de rede, configure a
equipe da rede para assegurar que as mquinas virtuais conseguiro manter o acesso rede mesmo que
um hardware de adaptador de rede apresente falha.
Quando possvel, implante ns NLB de mquina virtual em hosts Hyper-V separados. Quando voc
estiver planejando esse tipo de configurao, assegure que as mquinas virtuais que participam
do cluster NLB estejam na mesma sub-rede TCP/IP. Isso proteger o cluster NLB de outros tipos
de falha de servidor, como a falha de uma placa-me ou qualquer outro ponto nico de falha.
Configurao da rede da mquina virtual

Como a adio de adaptadores de rede virtual adicionais um processo simples, voc pode configurar
o cluster NLB para usar o modo unicast e, em seguida, implantar cada mquina virtual com vrios
adaptadores de rede. Voc deve criar comutadores virtuais separados para trfego de cluster e trfego
de gerenciamento de n, pois a segmentao do trfego pode melhorar o desempenho. Voc tambm
pode usar a virtualizao da rede para particionar o trfego de cluster do trfego de gerenciamento de
n. possvel usar as marcas VLAN como mtodo de particionamento do trfego de cluster do trfego
de gerenciamento de n.
Quando voc estiver usando o modo unicast, verifique se habilitou a falsificao de endereo MAC
para o adaptador de rede virtual no host do Hyper-V. Faa isso editando as configuraes do adaptador
de rede virtual na caixa de dilogo Configuraes da Mquina Virtual, que est disponvel no
Gerenciador Hyper-V. A habilitao da falsificao do endereo MAC permite que o modo unicast
configure a atribuio do endereo MAC no adaptador de rede virtual.
9-15
Cluster NLB x alta disponibilidade da mquina virtual

A alta disponibilidade da mquina virtual o processo de posicionamento das mquinas virtuais
em clusters de failover. Quando um n do cluster de failover apresentar falha, a mquina virtual far
failover de modo que ela seja hospedada em outro n. Mesmo que o cluster de failover e o NLB sejam
tecnologias de alta disponibilidade, eles tm finalidades diferentes. O cluster de failover oferece suporte
a aplicativos com monitorao de estado, como o SQL Server, ao passo que o NLB adequado para
aplicativos sem monitorao de estado, como os sites. As mquinas virtuais altamente disponveis no
permitem que um aplicativo seja dimensionado, porque voc no pode adicionar ns para aumentar
a capacidade. No entanto, possvel implantar ns de cluster NLB como mquinas virtuais altamente
disponveis. Nesse cenrio, os ns de cluster NLB fazem fail over em um novo host do Hyper-V, caso
o host do Hyper-V original apresente falha.
O grau de disponibilidade e redundncia necessrio variar, dependendo do aplicativo. Um aplicativo
de negcios crtico que custa milhes de dlares para uma organizao quando est inativo requer
uma disponibilidade diferente da oferecida por um aplicativo que causar inconvenincia mnima
se estiver offline.
Consideraes sobre a proteo do NLB

Os clusters NLB so quase sempre usados para
hospedar aplicativos Web importantes para a
organizao. Devido a essa importncia, voc
deve tomar providncias para proteger o NLB,
restringindo o trfego que pode enderear
o cluster e assegurando que as permisses
apropriadas sero aplicadas.
Configurao de regras de porta

Ao proteger clusters NLB, primeiro voc
deve assegurar que criou regras de porta
para bloquear o trfego para todas as portas
que no so usadas pelos aplicativos hospedados
no cluster NLB. Quando voc fizer isso, todo o trfego de entrada que no estiver especificamente
endereado a aplicativos em execuo no cluster NLB ser removido. Se voc no executar essa primeira
etapa, todo o trfego de entrada no gerenciado por uma regra de porta ser encaminhado para o n
de cluster com o valor de prioridade de cluster mais baixo.
Configurao das regras de firewall

Voc tambm deve assegurar que o Firewall do Windows com Segurana Avanada esteja configurado
em cada n de cluster NLB. Quando voc habilitar o NLB em um n de cluster, as seguintes regras de
firewall que permitem que o NLB funcione e se comunique com outros ns do cluster sero criadas
e habilitadas automaticamente:
Balanceamento de Carga de Rede (DCOM-In)
Balanceamento de Carga de Rede (ICMP4-ERQ-In)
Balanceamento de Carga de Rede (ICMP6-ERQ-In)
Balanceamento de Carga de Rede (RPCSS)
Balanceamento de Carga de Rede (WinMgmt-In)
Balanceamento de Carga de Rede (ICMP4-DU-In)
Balanceamento de Carga de Rede (ICMP4-ER-In)
Balanceamento de Carga de Rede (ICMP6-DU-In)
Balanceamento de Carga de Rede (ICMP6-EU-In)
Quando criadas, essas regras de firewall no incluem configuraes de escopo. Em ambientes de alta
segurana, voc configurar um endereo IP local ou intervalo de endereos IP apropriados e um
endereo IP remoto para cada uma dessas regras. O endereo IP remoto ou intervalo de endereos
IP remotos deve incluir os endereos usados pelos outros hosts do cluster.
Quando voc estiver configurando regras de firewall adicionais, lembre-se do seguinte:
Quando estiver usando vrios adaptadores de rede no modo unicast, configure regras de firewall
diferentes para cada interface de rede. Para a interface usada nas tarefas de gerenciamento, voc
deve configurar as regras de firewall para permitir somente o trfego de gerenciamento de entrada,
habilitando, por exemplo, o uso do Windows PowerShell remoto, do Gerenciamento Remoto
do Windows (WinRM) e da rea de Trabalho Remota para tarefas de gerenciamento. Voc
deve configurar as regras de firewall na interface de rede usada pelo n de cluster para fornecer
um aplicativo ao cluster e permitir o acesso a esse aplicativo. Por exemplo, permita o trfego
de entrada nas portas TCP 80 e 443 em um aplicativo que usa os protocolos HTTP e HTTPS.
Quando voc estiver usando vrios adaptadores de rede no modo multicast, configure regras
de firewall que permitam o acesso aos aplicativos hospedados no cluster, mas que bloqueiem
o acesso s outras portas.
Configurao dos aplicativos para que respondam somente ao trfego endereado

ao cluster
Voc deve configurar aplicativos em cada n para que respondam somente ao trfego endereado ao
cluster e para que ignorem o trfego de aplicativo endereado ao n individual. Por exemplo, se voc
implantar um aplicativo Web criado para responder ao trfego endereado a www.adatum.com, haver
um site em cada n que aceitar o trfego na porta 80. Dependendo da configurao de cluster NLB,
possvel que o trfego endereado ao n na porta 80 gere uma resposta direta. Por exemplo, talvez os
usurios possam acessar o aplicativo Web A. Datum digitando o endereo http://nlb-node-3.adatum.com
em um navegador, em vez de digitar o endereo http://www.adatum.com. Voc pode proteger
aplicativos desse tipo de trfego direto configurando-os para responderem somente ao trfego que
usa o endereo de cluster NLB. Para aplicativos Web, voc pode fazer isso configurando o site para
usar um cabealho de host. Cada aplicativo executado em um cluster NLB ter seu prprio mtodo
exclusivo para permitir que voc configure o aplicativo para responder somente ao trfego
direcionado no cluster, e no no n de cluster individual.
Proteo do trfego com SSL

Todos os sites do NLB devem usar o mesmo nome de site. Quando voc estiver protegendo sites
que tornar altamente disponveis atravs do NLB, ser necessrio assegurar que cada site tenha um
certificado SSL que corresponda ao nome do site. Voc pode usar cabealhos de host em cada n.
Na maioria dos casos, voc instalar o mesmo certificado de site em cada n do cluster NLB, porque
isso mais simples do que adquirir certificados separados para cada n de cluster. Em alguns casos,
voc precisar adquirir certificados que ofeream suporte a nomes alternativos de entidade (SANs).
Os certificados que oferecem suporte aos SANs permitem que um servidor seja identificado por vrios
nomes, como o nome usado pelo aplicativo clusterizado e o nome do n de cluster. Por exemplo, um
certificado com um SAN poderia oferecer suporte aos nomes www.adatum.com, node1.adatum.com,
node2.adatum.com, node3.adatum.com e node4.adatum.internal.
9-17
Princpio dos privilgios mnimos

Assegure que os usurios recebero apenas permisses para tarefas que eles precisam executar no n
NLB. Os membros do grupo Administradores local em um n nico podem adicionar e remover ns
de cluster, at mesmo se no forem membros do grupo Administradores local nesses ns. Os aplicativos
executados nos clusters NLB devem ser configurados de modo que no exijam que os administradores
de aplicativo tenham privilgios de Administrador local nos servidores que hospedam o aplicativo.
Somente os usurios cujo cargo de trabalho exija que eles consigam estabelecer conexes de
gerenciamento remotas com ns de cluster NLB devem ser capazes de estabelecer essas conexes.
Consideraes sobre o dimensionamento do NLB

O dimensionamento o processo de aumento
da capacidade de um cluster NLB. Por exemplo,
se voc tiver um cluster NLB de quatro ns e
cada n no cluster estiver sendo intensamente
utilizado at o cluster no poder gerenciar
mais trfego, adicione outros ns. A adio
de ns difundir a mesma carga entre mais
computadores, reduzindo a carga em cada n
de cluster atual. A capacidade aumenta porque
um nmero maior de computadores configurados
de modo similar pode gerenciar uma carga de
trabalho mais alta que um nmero menor de
computadores configurados de modo similar.
Um cluster NLB oferece suporte a at 32 ns. Isso significa que voc pode dimensionar um nico
cluster NLB de modo que 32 ns separados participem desse cluster. Quando voc considerar
o dimensionamento de um aplicativo para que ele seja hospedado em um cluster NLB de 32 ns,
lembre-se de que cada n no cluster deve estar na mesma sub-rede TCP/IP.
Uma alternativa para compilar clusters NLB nicos compilando vrios clusters NLB e usando o recurso
round robin de DNS em seguida para compartilhar o trfego entre eles. O recurso round robin de DNS
uma tecnologia que permite a um servidor DNS fornecer aos clientes solicitantes endereos IP diferentes
para o mesmo nome de host, em ordem sequencial. Por exemplo, se houver trs endereos associados
a um nome de host, o primeiro host solicitante receber o primeiro endereo, o segundo receber o
segundo endereo, o terceiro receber o terceiro endereo e assim sucessivamente. Quando voc usa
o recurso round robin de DNS com o NLB, associa os endereos IP de cada cluster ao nome de host
usado pelo aplicativo.
A distribuio do trfego entre clusters NLB que usam o recurso round robin de DNS tambm permite
implantar clusters NLB entre vrios sites. O round robin de DNS oferece suporte classificao de
mscaras de rede. Essa tecnologia assegurar que os clientes em uma sub-rede recebero um endereo
IP de um host na mesma rede, caso algum esteja disponvel. Por exemplo, voc poderia implantar trs
clusters NLB de quatro ns nas cidades de Sydney, Melbourne e Canberra, e usar o recurso round robin
de DNS para distribuir o trfego entre eles. Com a classificao de mscaras de rede, um cliente que est
acessando o aplicativo em Sydney ser direcionado para o cluster NLB hospedado em Sydney. Um cliente
que no est na mesma sub-rede dos ns de cluster NLB, como um cliente na cidade de Brisbane, ser
direcionado pelo recurso round robin de DNS para o cluster NLB de Sydney, Melbourne ou Canberra.
Consideraes sobre a atualizao dos clusters NLB

A atualizao de clusters NLB envolve a
movimentao dos ns de cluster de um
sistema operacional host, por exemplo, o
Windows Server 2003 ou o Windows Server 2008,
para o Windows Server 2012. A atualizao do
cluster pode no envolver uma atualizao de
sistema operacional em cada n, porque, em
alguns casos, o sistema operacional host original
pode no oferecer suporte a uma atualizao
direta para o Windows Server 2012. Nesse
caso, voc pode executar uma migrao.
A recomendao principal quando voc est
atualizando clusters NLB lembrar-se de que o NLB oferece suporte aos clusters que esto executando
uma combinao de sistemas operacionais. Isso significa que voc pode ter um cluster que executa
uma combinao de Windows Server 2003, Windows Server 2008 e Windows Server 2012. Tenha em
mente que, embora haja suporte para clusters NLB de sistemas operacionais combinados, eles no
so recomendados. Voc deve configurar o cluster NLB de modo que todos os hosts executem
o mesmo sistema operacional o quanto antes.
Observao: Em algumas situaes, no ser possvel atualizar o sistema operacional
de um n de cluster.
Quando voc estiver executando uma atualizao, poder usar uma destas estratgias:
Atualizao por etapas. Durante este tipo de atualizao, voc adiciona novos ns
Windows Server 2012 a um cluster existente e remove os ns que esto executando verses
anteriores do sistema operacional Windows Server. Este tipo de atualizao apropriado
quando o hardware e o sistema operacional originais no oferecem suporte a uma atualizao
direta para o Windows Server 2012.
Atualizao sem interrupo. Durante este tipo de atualizao, voc atualiza um n do cluster
de cada vez. Voc faz isso colocando o n offline, executando a atualizao e reingressando
o n no cluster.
Links de referncia: Obtenha mais informaes sobre como atualizar clusters NLB
9-19
Laboratrio: Implementao do Balanceamento

de Carga de Rede
Cenrio
A A. Datum Corporation uma empresa de engenharia e manufatura. A organizao est sediada em
Londres, na Inglaterra, e est expandindo rapidamente na Austrlia. medida que a empresa se expande,
a necessidade de aplicativos Web escalonveis aumenta. Pensando nisso, voc est desenvolvendo
um programa piloto para testar a implantao do NLB nos hosts que executam o sistema operacional
Como voc pretende automatizar o processo de implantao de clusters NLB do Windows, usar
o Windows PowerShell para executar vrias tarefas de instalao e configurao de clusters. Voc
tambm configurar regras de portas e afinidade, que permitiro implantar vrios aplicativos Web
com balanceamento de carga nos mesmos clusters NLB do Windows.
Objetivos
Implementar um cluster NLB.
Configurar e gerenciar um cluster NLB.
Validar a alta disponibilidade do cluster NLB.
Mquinas virtuais
24412B-LON-DC1
24412B-LON-SVR1
24412B-LON-SVR2
Nome de Usurio
ADATUM\Administrador
Senha
Pa$$w0rd
1.

2.
3.
4.
5.
Nome de Usurio: ADATUM\Administrador
Senha: Pa$$w0rd
Repita as etapas de 2 a 4 para 24412B-LON-SVR1 e 24412B-LON-SVR2.
Exerccio 1: Implementao de um cluster de Balanceamento de Carga

de Rede
Cenrio
Voc deseja automatizar o processo de implantao dos clusters NLB do Windows Server 2012.
Tendo isso em mente, voc estar usando o Windows PowerShell para executar a maioria das
tarefas de implantao de clusters NLB.
1.
Verifique a funcionalidade de site para servidores autnomos.
2.
Instale o Balanceamento de Carga de Rede (NLB) .
3.
Criao de um novo cluster NLB do Windows Server 2012.
4.
Adio de um segundo host ao cluster.
5.
Validao do cluster NLB.
Tarefa 1: Verifique a funcionalidade de site para servidores autnomos

1.
Em LON-SVR1, navegue at a pasta c:\inetpub\wwwroot.
2.
Abra iis-8 no Microsoft Paint, use a ferramenta Paint Brush e aplique a cor vermelha para marcar
o logotipo do IIS.
3.
Feche o Explorador de Arquivos.
4.
Alterne para LON-DC1 e abra o Windows Internet Explorer.
5.
Navegue at http://LON-SVR1 e verifique se a pgina da Web est marcada com a cor vermelha.
6.
Navegue at http://LON-SVR2 e verifique se o site no est marcado para diferenci-lo dos demais.
7.
Tarefa 2: Instale o Balanceamento de Carga de Rede (NLB)

1.
Em LON-SVR1, abra o ISE do Windows PowerShell.
2.
Digite o seguinte comando e pressione Enter:

Invoke-Command -Computername LON-SVR1,LON-SVR2 -command {Install-WindowsFeature
NLB,RSAT-NLB}
Tarefa 3: Criao de um novo cluster NLB do Windows Server 2012

1.
Em LON-SVR1, no ISE do Windows PowerShell, digite o comando a seguir e pressione Enter:

New-NlbCluster -InterfaceName "Conexo Local" -OperationMode Multicast ClusterPrimaryIP 172.16.0.42 -ClusterName LON-NLB
2.
No ISE do Windows PowerShell, digite o comando a seguir e pressione Enter:

Invoke-Command -Computername LON-DC1 -command {Add-DNSServerResourceRecordA zonename
adatum.com name LON-NLB Ipv4Address 172.16.0.42}
Tarefa 4: Adio de um segundo host ao cluster
Em LON-SVR1, no ISE do Windows PowerShell, digite o comando a seguir e pressione Enter:

Add-NlbClusterNode -InterfaceName "Conexo Local" -NewNodeName "LON-SVR2" NewNodeInterface "Conexo Local"
Tarefa 5: Validao do cluster NLB

1.
Em LON-SVR1, abra o Gerenciador de Balanceamento de Carga de Rede e verifique se os ns

LON-SVR1 e LON-SVR2 so exibidos com o status Convergido.
2.
Exiba as propriedades do cluster LON-NLB e verifique o seguinte:

o
O cluster est definido para usar o modo de operao Multicast.
H uma nica regra de porta chamada Tudo que inicia na porta 0 e termina na porta 65535
para os protocolos TCP e UDP, e que usa a afinidade nica.
Resultados: Aps concluir este exerccio, voc ter implementado com xito um cluster NLB.
Exerccio 2: Configurao e gerenciamento do cluster NLB

Cenrio
Voc deseja implantar vrios sites separados no cluster NLB e diferenci-los com base no endereo
de porta. Para fazer isso, voc deseja assegurar que pode configurar e validar as regras de porta.
Voc tambm deseja testar as configuraes de afinidade para assegurar que as solicitaes
sero distribudas uniformemente entre os hosts.
1.
Configurao das regras de porta e da afinidade.
2.
Validao das regras de porta.
3.
Gerenciamento da disponibilidade de host no cluster NLB.
Tarefa 1: Configurao das regras de porta e da afinidade

1.
Em LON-SVR2, abra o Windows PowerShell.
2.
No Windows PowerShell, digite os seguintes comandos, pressionando Enter aps cada um deles:
Cmd.exe
Mkdir c:\porttest
Xcopy /s c:\inetpub\wwwroot c:\porttest
Exit
New-Website -Name PortTest -PhysicalPath "C:\porttest" -Port 5678
New-NetFirewallRule -DisplayName PortTest -Protocol TCP -LocalPort 5678
3.
Abra o Explorador de Arquivos, navegue at c:\porttest\iis-8.png e abra esse arquivo no

Microsoft Paint.
4.
Use o pincel Azul para marcar o logotipo do IIS.
5.
9-21
6.
Abra o Internet Explorer e navegue at http://LON-SVR2:5678.
7.
Verifique se a pgina inicial do IIS com a imagem marcada em azul exibida.
8.
9.
Em LON-SVR1, abra o Gerenciador de Balanceamento de Carga de Rede e exiba as propriedades

do cluster LON-NLB.
10. Remova a regra Tudo.

11. Adicione uma regra de porta com as seguintes propriedades:
o
Protocolos: Ambos
Modo de filtragem: Vrios hosts
Afinidade: Nenhuma
12. Crie uma nova regra de porta com as seguintes propriedades:

o
Protocolos: Ambos
Modo de filtragem: Host nico
13. Feche a caixa de dilogo Propriedades de LON-NLB (172.16.0.42).

14. Edite as propriedades de host de LON-SVR1.
15. Configure o valor Prioridade de Tratamento da regra da porta 5678 como 10.
Tarefa 2: Validao das regras de porta

1.
2.
Usando o Internet Explorer, navegue at http://lon-nlb, atualize a pgina da Web 20 vezes

e verifique se as pginas da Web com e sem a marcao vermelha so exibidas.
3.
Em LON-DC1, navegue at o endereo http://LON-NLB:5678, atualize a pgina da Web 20 vezes

e verifique se apenas a pgina da Web com a marcao azul exibida.
Tarefa 3: Gerenciamento da disponibilidade de host no cluster NLB

1.
2.
Em LON-SVR1, use o Gerenciador de Balanceamento de Carga de Rede para colocar a mquina

LON-SVR1 em suspenso.
3.
Verifique se o n LON-SVR1 exibido como Suspenso e se o n LON-SVR2 exibido

como Convergido.
4.
Retome e inicie LON-SVR1.
5.
Verifique se os ns LON-SVR1 e LON-SVR2 agora so exibidos como Convergido.
Resultados: Aps concluir este exerccio, voc ter configurado e gerenciado com xito um cluster NLB.
9-23
Exerccio 3: Validao da alta disponibilidade do cluster NLB

Cenrio
Como parte da preparao da implantao do NLB no ambiente da sua organizao, voc deseja
assegurar que possvel executar tarefas de manuteno (como operaes de reinicializao) sem afetar
a disponibilidade dos sites hospedados no cluster. Tendo isso em mente, voc verificar a disponibilidade
reinicializando um dos hosts enquanto tenta acessar o site clusterizado. Voc tambm explorar
a funcionalidade Interrupo de descarga.
1.
Valide a disponibilidade do site quando o host no estiver disponvel.
2.
Configurao e validao da Interrupo de descarga.
Tarefa 1: Valide a disponibilidade do site quando o host no estiver disponvel

1.
Reinicie LON-SVR1.
2.
3.
Em LON-DC1, abra o Internet Explorer e navegue at http://LON-NLB.
4.
Atualize o site 20 vezes. Verifique se o site est disponvel, mas no exibe a marca vermelha
no logotipo do IIS at LON-SVR1 ser reiniciada.
Tarefa 2: Configurao e validao da Interrupo de descarga

1.
Em LON-SVR1, abra o Gerenciador de Balanceamento de Carga de Rede e inicie uma Interrupo

de descarga em LON-SVR2.
2.
Em LON-DC1, navegue at http://lon-nlb, e verifique se somente a pgina de boas-vindas

com o logotipo do IIS vermelho exibida.
Resultados: Aps concluir este exerccio, voc ter validado com xito a alta disponibilidade
do cluster NLB.
Tarefa 3: Para se preparar para o prximo mdulo

1.
2.
em Reverter.
3.
4.
Repita as etapas 2 e 3 para 24412B-LON-SVR1 e 24412B-LON-SVR2.

Perguntas de reviso
Pergunta: Voc criou um cluster NLB do Windows Server 2012 de quatro ns. O cluster
hospeda um site que hospedado no IIS. O que acontecer com o cluster se voc desligar
o servio de publicao na World Wide Web em um dos ns?
Pergunta: Voc deseja hospedar os sites www.contoso.com, www.adatum.com e
www.fabrikam.com em um cluster NLB de quatro ns. O endereo IP do cluster ser um
endereo IP pblico, e cada nome de domnio totalmente qualificado (FQDN) mapeado
no DNS para o endereo IP pblico do cluster. Quais etapas voc deve executar em cada
n para assegurar que trfego ser direcionado para o site apropriado?
Pergunta: Voc tem um cluster NLB do Windows de oito ns que hospeda um aplicativo
Web. Voc deseja assegurar que o trfego de um cliente que usa o cluster permanece com
o mesmo n ao longo de toda a sesso, mas esse trfego de clientes separados distribudo
equitativamente por todos os ns. Qual opo voc configurar para atingir essa meta?

Para se tornar uma verdadeira soluo de alta disponibilidade, use uma soluo de monitoramento
com NLB que detectar falha de aplicativo. Isso acontece porque os clusters NLB continuaro
direcionando trfego para ns que tm aplicativos com falha, contanto que o NLB, que
independente do aplicativo, continue enviando trfego de pulsao.
10-1
Mdulo 10
Implementao do cluster de failover
Contedo:
Viso geral do mdulo
10-1
Lio 1: Viso geral do cluster de failover
10-2
Lio 2: Implementao de um cluster de failover
10-15
Lio 3: Configurao de aplicativos e servios altamente disponveis

em um cluster de failover
10-22
Lio 4: Manuteno de um cluster de failover
10-28
Lio 5: Implementao de um cluster de failover multissite
10-35
10-41
10-47
Viso geral do mdulo

Fornecer alta disponibilidade importante para qualquer organizao que deseja fornecer servios
contnuos aos seus usurios. Disponibilidade alta um termo que denota a capacidade de um
sistema ou dispositivo ser usado quando necessrio. Voc pode expressar a alta disponibilidade como
porcentagem, que calculada pela diviso do tempo de servio real pelo tempo de servio necessrio.
Disponibilidade alta no significa que o sistema estar livre do tempo de inatividade. No entanto, uma
rede que tem um tempo de atividade de 99,999% geralmente considerada altamente disponvel.
O cluster de failover uma das principais tecnologias do Windows Server 2012 que pode fornecer
alta disponibilidade para vrios aplicativos e servios. Neste mdulo, voc aprender sobre o cluster
de failover, seus componentes e tcnicas de implementao.
Objetivos
Descrever o cluster de failover.
Implementar um cluster de failover.
Configurar aplicativos e servios altamente disponveis.
Manter um cluster de failover.
Implementar um cluster de failover multissite.
10-2 Implementao do cluster de failover
Lio 1
Viso geral do cluster de failover

Cluster de failover um processo de alta disponibilidade, em que uma instncia de um servio ou
aplicativo em execuo em uma mquina pode fazer failover em uma mquina diferente do cluster
de failover se a primeira mquina falhar. Os clusters de failover do Windows Server 2012 fornecem
uma soluo de alta disponibilidade para muitas funes de servidor e aplicativos. Implementando
clusters de failover, voc pode manter a disponibilidade do aplicativo ou servio se um ou mais
computadores do cluster de failover falharem.
Antes de implementar o cluster de failover, voc deve estar familiarizado com os conceitos gerais
de alta disponibilidade. Voc tambm deve entender a terminologia de cluster e como os clusters
de failover funcionam. Finalmente, voc deve estar familiarizado com os novos recursos de cluster
Objetivos da lio
Descrever a alta disponibilidade.
Descrever as melhorias do cluster de failover no Windows Server 2012.
Descrever os componentes do cluster de failover.
Descrever volumes compartilhados de cluster (CSV).
Definir failover e failback.
Descrever um quorum.
Descrever os modos de quorum nos clusters de failover do Windows Server 2012.
Descrever as redes do cluster de failover.
Descrever o armazenamento do cluster de failover.
O que alta disponibilidade?

A disponibilidade refere-se a um nvel de servio
fornecido por aplicativos, servios ou sistemas.
A disponibilidade geralmente expressa como
a porcentagem do tempo que um servio ou
sistema fica disponvel. Os sistemas altamente
disponveis tm um tempo de inatividade mnimo
seja planejado ou no e esto disponveis
em mais de 99% do tempo, dependendo das
necessidades e do oramento da organizao.
Por exemplo, um sistema que no est disponvel
durante 8,75 horas por ano teria uma classificao
de disponibilidade de 99,9%, e seria considerado
altamente disponvel.
10-3
Para melhorar a disponibilidade, voc deve implementar mecanismos de tolerncia a falhas que
mascaram ou minimizam a forma como as falhas e as dependncias dos componentes do servio
afetam o sistema. possvel obter a tolerncia a falhas implementando a redundncia em pontos
de falha isolados.
A falta de comunicao sobre as expectativas do nvel de servio entre o cliente e a organizao
de TI pode resultar em decises comerciais insatisfatrias, como nveis de investimento inadequados
e insatisfao do cliente. Certifique-se de expressar claramente os requisitos de disponibilidade para
que no haja enganos sobre as implicaes.
O perodo de medio de disponibilidade tambm pode ter um efeito significativo na definio de
disponibilidade. Por exemplo, um requisito para 99,9% de disponibilidade em um perodo de um ano
permite 8,75 horas de tempo de inatividade, enquanto que um requisito de 99,9% disponibilidade em
um intervalo de quatro semanas permite apenas 40 minutos de tempo de inatividade por perodo.
Para alta disponibilidade, voc tambm deve identificar e negociar interrupes planejadas, horas
de servio e suporte, atividades de manuteno, atualizaes de service packs e de software. Estes so
considerados interrupes agendadas, e normalmente no so includos como tempo de inatividade;
basicamente voc calcula a disponibilidade apenas com base nas interrupes no planejadas.
Entretanto, necessrio negociar exatamente as interrupes planejadas que sero consideradas
como tempo de inatividade.
Cluster de failover no Windows Server 2012

A maioria dos recursos e tcnicas de
administrao de cluster de failover do
Windows Server 2008 R2 est presente no
Windows Server 2012. Porm, alguns novos
recursos e tecnologias no Windows Server 2012
aumentam escalabilidade e disponibilidade
de armazenamento de cluster e fornece
gerenciamento melhor e mais fcil
e failover mais rpido.
Os novos recursos importantes do cluster
de failover do Windows Server 2012 incluem:
Maior escalabilidade. No
Windows Server 2012, um cluster de failover pode ter 64 ns fsicos e pode executar 4.000 mquinas
virtuais em cada cluster. Essa uma melhoria significante em relao ao Windows Server 2008 R2,
que suporta apenas 16 ns fsicos e 1.000 mquinas virtuais por cluster. Cada cluster que voc cria
est agora disponvel do console do Gerenciador do Servidor. No Windows Server 2012, o
Gerenciador do Servidor pode descobrir e gerenciar todos os clusters que so criados em um
domnio dos Servios de Domnio do Active Directory (AD DS). Se voc implantar o cluster em um
cenrio de multissite, o administrador poder controlar quais ns em um cluster tero votos para
estabelecer o quorum. A escalabilidade do cluster de failover tambm melhorou para mquinas
virtuais que esto em execuo em clusters. Isso ser abordado posteriormente em mais detalhes
neste curso.
CSVs melhorados. Essa tecnologia foi introduzida no Windows Server 2008 R2 e tornou-se muito
popular por fornecer armazenamento em mquina virtual. No Windows Server 2012, os CSVs
aparecem como sistemas de arquivos CSV e suportam o armazenamento SMB verso 3.0 para
Hyper-V e outros aplicativos. Alm disso, o CSV pode usar os recursos SMB Multichannel e
SMB Direct para permitir que o trfego flua por vrias redes em um cluster. Tambm possvel
implementar servidor de arquivos em CSVs, em modo escalvel. Para maior segurana, voc
pode usar a Criptografia de Unidade do Windows BitLocker para discos CSV, e voc pode
tornar o armazenamento CSV visvel apenas para um subconjunto de ns em um cluster.
Para confiabilidade, voc pode verificar e reparar volumes CSV sem perodo offline.
Atualizao com suporte a cluster. Em verses anteriores do Windows Server, atualizar ns

de cluster para minimizar ou evitar tempo de inatividade exigia preparao e planejamento
significantes. Alm disso, atualizar ns de cluster era um procedimento basicamente manual, o
que causava esforo administrativo adicional. O Windows Server 2012 apresenta a Atualizao
com Suporte a Cluster, uma nova tecnologia para essa finalidade. A Atualizao com Suporte
a Cluster atualiza ns de cluster automaticamente com o hotfix do Windows Update, enquanto
mantm o cluster online e minimizando o tempo de inatividade. Essa tecnologia ser explicada
em mais detalhes na Lio 4: Manuteno de um cluster de failover.
Melhorias de integrao com o Active Directory. No Windows Server 2008, o cluster de failover
integrado ao AD DS. O Windows Server 2012 melhora essa integrao. Agora os administradores
podem criar um cluster de objetos de computador em unidades organizacionais de destino (UOs)
ou, por padro, nas mesmas UOs dos ns de cluster. Isso alinha as dependncias do cluster de
failover no AD DS com o modelo de administrao de domnio delegado que muitas organizaes
de TI usam. Alm disso, agora voc pode implantar clusters de failover com acesso apenas para
controladores de domnio somente leitura.
Melhorias de gerenciamento. Embora o cluster de failover do Windows Server 2012 ainda use quase
o mesmo console de gerenciamento e as mesmas tcnicas administrativas, o Windows Server 2012
traz algumas melhorias de gerenciamento importantes. A velocidade de validao para clusters de
failover grandes melhorou no Assistente de Validao, e novos testes para CSVs, a funo Hyper-V
e mquinas virtuais foram adicionados. Alm disso, novos cmdlets do Windows PowerShell esto
disponveis para gerenciar clusters, monitorar aplicativos de mquina virtual clusterizados e criar
destinos iSCSI altamente disponveis.
Recursos removidos e preteridos

No cluster do Windows Server 2012, alguns recursos das verses de cluster de failover anteriores foram
removidos ou preteridos. Se voc estiver atualizando de uma verso anterior, dever estar ciente destas
alteraes:
A ferramenta de linha de comando Cluster.exe foi removida. No entanto, voc ainda pode instal-la
opcionalmente com as ferramentas de cluster de failover. Os cmdlets do Windows PowerShell
do cluster de failover fornecem uma funcionalidade que geralmente a mesma dos comandos
Cluster.exe.
A interface COM do servidor MSClus foi removida, mas voc pode instal-la opcionalmente com
as ferramentas de cluster de failover.
O suporte para DLLs de recursos de cluster de 32 bits foi preterido, mas voc pode instalar DLLs
de 32 bits opcionalmente. As DLLs de recursos de cluster devem ser atualizadas para 64 bits.
A funo Servidor de Impresso foi removida do Assistente de Alta Disponibilidade e no pode

ser configurada no Gerenciador de Cluster de Failover.
O cmdlet Add-ClusterPrintServerRole foi removido e no tem suporte no Windows Server 2012.
10-5
Componentes do cluster de failover

Como um cluster de failover, grupo de
computadores independentes que trabalham
juntos para aumentar a disponibilidade de
aplicativos e servios. Cabos fsicos e softwares
conectam os servidores clusterizados. Os
servidores que participam do cluster tambm
so conhecidos como ns. Se um dos ns de
cluster falhar, outro n comear a fornecer
servios. Esse processo conhecido como
failover. Com o failover, os usurios sofrem
mnima a nenhuma interrupo de servio.
Uma soluo de cluster de failover consiste
em vrios componentes, que incluem:
Ns. Esses so computadores que so membros de um cluster de failover. Esses computadores

executam o servio de cluster, bem como os recursos e aplicativos associados ao cluster.
Rede. Essa uma rede pela qual os ns de cluster podem se comunicar entre si e com clientes.
H trs tipos de redes que podem ser usadas em um cluster: pblica, privada, pblica e privada.
Essas redes so abordadas em mais detalhes no tpico Redes do cluster de failover.
Recurso. Essa uma entidade hospedada por um n. Ela gerenciada pelo servio de cluster
e pode ser iniciada, interrompida e movida para outro n.
Armazenamento de cluster. Esse um sistema de armazenamento que normalmente

compartilhado entre ns de cluster. Em alguns cenrios, como clusters de servidores que
executam o Microsoft Exchange Server, o armazenamento compartilhado no necessrio.
Clientes. So computadores (ou usurios) que esto usando o servio de cluster.
Servio ou aplicativo. entidade de software que apresentada aos clientes e usada pelos clientes.
Em um cluster de failover, cada n no cluster:
Tem total conectividade e comunicao com os outros ns do cluster.
Sabe quando outro n entra ou sai do cluster. Alm disso, cada n sabe quando um n
ou recurso est falhando e tem capacidade para assumir esses servios.
conectado a uma rede pela qual computadores cliente podem acessar o cluster.
Normalmente conectado por meio de um barramento compartilhado ou conexo iSCSI

ao armazenamento compartilhado.
Sabe os servios ou aplicativos que esto em execuo localmente e os recursos que esto
em execuo em todos os outros ns do cluster.
O armazenamento de cluster normalmente se refere a dispositivos lgicos geralmente discos rgidos

ou LUNs (nmeros de unidade lgica) aos quais todos os ns de cluster se anexam por meio de um
barramento compartilhado. Esse barramento separado do barramento que contm o sistema e os discos
de inicializao. Os discos compartilhados armazenam recursos como aplicativos e compartilhamentos
de arquivos que o cluster gerenciar.
Um cluster de failover normalmente define pelo menos duas redes de comunicaes de dados: uma rede
permite que o cluster se comunique com clientes e a outra rede isolada permite que os membros dos
ns do cluster se comuniquem diretamente uns com os outros. Se um armazenamento compartilhado
diretamente conectado no estiver em uso, um terceiro segmento de rede (para iSCSI ou Fiber Channel)
pode existir entre os ns do cluster e uma rede de armazenamento de dados.
A maioria dos aplicativos clusterizados e seus recursos associados atribuda a um n do cluster por
vez. O n que fornece acesso a esses recursos de cluster o n ativo. Se os ns detectarem a falha
do n ativo de um aplicativo clusterizado, ou se o n ativo for colocado offline para manuteno,
o aplicativo clusterizado ser iniciado em outro n do cluster. Para minimizar o impacto da falha,
as solicitaes de clientes so imediata e transparentemente redirecionadas ao novo n do cluster.
O que so CSVs?
Em uma implantao de cluster de failover
clssica, apenas um n por vez controla
um LUN no armazenamento compartilhado.
Isso significa que outro n no pode ver o
armazenamento compartilhado at que se
torne um n ativo. CSV uma tecnologia
introduzida no Windows Server 2008 R2 que
permite que vrios ns compartilhem um nico
LUN simultaneamente. Cada n obtm acesso
exclusivo a arquivos individuais no LUN em vez
de ao LUN inteiro. Em outras palavras, o CSV
fornece uma soluo de forma que vrios ns
do cluster possam acessar o mesmo sistema de arquivos NTFS simultaneamente.
Na primeira verso no Windows Server 2008 R2, a nica finalidade do CSV era hospedar mquinas virtuais
em execuo em um servidor Hyper-V em um cluster de failover. Isso permitia que os administradores
tivessem um nico LUN hospedando vrias mquinas virtuais em um cluster de failover. Vrios ns de
cluster tinham acesso ao LUN, mas cada mquina virtual era executada somente em um n por vez. Se
o n em que uma mquina virtual estava em execuo falhasse, o CSV permitia que a mquina virtual
reiniciasse em um n diferente no cluster de failover. Alm disso, isso permitia o gerenciamento de
disco simplificado para hospedar mquinas virtuais, em comparao a cada mquina virtual que exige
um LUN separado.
No Windows Server 2012, o CSV tem melhorias adicionais. Agora possvel usar o CSV para outras
funes, e no apenas para o Hyper-V. Por exemplo, agora voc pode configurar a funo de
servidor de arquivos em cluster de failover no cenrio de Servidor de Arquivos Escalvel. O Servidor
de Arquivos Escalvel foi desenvolvido para fornecer compartilhamentos de arquivos escalveis
disponveis continuamente para o armazenamento de aplicativos de servidor baseados em arquivos.
Os compartilhamentos de arquivos escalveis podem compartilhar a mesma pasta de vrios ns no
mesmo cluster. Nesse contexto, o CSV do Windows Server 2012 introduz o suporte para um cache
de leitura, o que pode melhorar o desempenho em certos cenrios. Alm disso, um CSVFS (sistema
de arquivos proxy CSV) pode executar Chkdsk sem afetar os aplicativos com manipulaes abertas
no sistema de arquivos.
10-7
Outras melhorias importantes em CSV no Windows Server 2012 so:
CSVFS. No console Gerenciamento de Disco, agora os volumes CSV aparecem como CSVFS. No
entanto, esse no um novo sistema de arquivos. A tecnologia subjacente ainda o sistema de
arquivos NTFS e os volumes CSVFS ainda so formatados com NTFS. No entanto, como os volumes
aparecem como CSVFS, os aplicativos podem descobrir que eles so executados em CSVs, o que
ajuda a melhorar a compatibilidade. Alm disso, devido ao namespace de arquivo nico, todos
os arquivos tm o mesmo nome e caminho em qualquer n em um cluster.
Vrias sub-redes tm suporte para CSVs. Os CSVs foram aprimorados para se integrar com
o SMB Multichannel para ajudar a obter uma transferncia mais rpida para volumes CSV.
Suporte para criptografia de volume BitLocker. O Windows Server 2012 tem suporte para a
criptografia de volume BitLocker para discos clusterizados tradicionais e CSVs. Cada n executa
a descriptografia usando a conta do computador do prprio cluster.
Suporte para armazenamento SMB 3.0. O armazenamento SMB 3.0 tem suporte para o Hyper-V
e aplicativos como o Microsoft SQL Server. Isso significa que, por exemplo, voc pode hospedar
arquivos de mquinas virtuais Hyper-V em uma pasta compartilhada.
Integrao com o SMB Multichannel e o SMB Direct. Essa integrao permite que o trfego CSV
flua por vrias redes do cluster e use os adaptadores de redes que oferecem suporte ao RDMA
(Acesso Remoto Direto Memria).
Integrao com o recurso Espaos de Armazenamento no Windows Server 2012. Essa integrao
pode fornecer armazenamento virtualizado em clusters de discos baratos.
Tempo de inatividade reduzido. O CSV no Windows Server 2012 permite verificar e reparar volumes
sem perodo offline.
Implementao do CSV
Voc pode configurar o CSV somente quando criar um cluster de failover. Depois de criar o cluster
de failover, voc poder habilitar o CSV para o cluster e adicionar armazenamento ao CSV.
No entanto, antes de adicionar armazenamento ao CSV, voc deve tornar o LUN disponvel como
armazenamento compartilhado para o cluster. Quando voc cria um cluster de failover, todos os
discos compartilhados configurados no Gerenciador do Servidor so adicionados ao cluster, e depois
voc pode adicion-los a um CSV. Se voc adicionar mais LUNs ao armazenamento compartilhado,
crie primeiramente volumes no LUN, adicione o armazenamento ao cluster e depois adicione o
armazenamento ao CSV.
Como prtica recomendada, voc deve configurar o CSV antes de tornar qualquer servio altamente
disponvel. Entretanto, voc pode converter o acesso de disco normal em CSV aps a implantao.
As seguintes consideraes se aplicam:
Quando voc converter o acesso de disco normal em CSV, isso remover o ponto de montagem
ou a letra de unidade do LUN. Isso significa que voc deve recriar todos os recursos que esto
armazenados no armazenamento compartilhado. Voc no poder adicionar armazenamento
compartilhado ao CSV se estiver em uso. Se voc tiver um servio de mquina em execuo
que est usando um disco de cluster, encerre-o e adicione o disco ao CSV.
O que so failover e failback?

O failover transfere a responsabilidade
de fornecer acesso aos recursos em um
cluster de um n para outro. O failover pode
acontecer quando um administrador move
intencionalmente recursos para outro n para
manuteno, ou devido ao tempo de inatividade
de um n provocado por falha de hardware ou
outros motivos. Alm disso, a falha de servio em
um n ativo pode iniciar o failover em outro n.
Uma tentativa de failover consiste nestas etapas:
1.
O servio de cluster coloca todos os recursos

da instncia offline, na ordem determinada
pela hierarquia de dependncia da instncia. Isso significa que os recursos dependentes so
colocados offline primeiro, seguido dos recursos dos quais dependem. Por exemplo, se um aplicativo
depende de um recurso de disco fsico, o servio de cluster coloca o aplicativo offline primeiro,
o que permite que o aplicativo grave as alteraes no disco antes de o disco ser colocado offline.
2.
Depois que todos os recursos estiverem offline, o servio de cluster tentar transferir a instncia
para o prximo n da lista da instncia de proprietrios preferenciais.
3.
Se o servio de cluster mover a instncia com xito para outro n, ele tentar colocar todos os
recursos online novamente. Nesse momento, ele inicia a parte inferior da hierarquia de dependncia.
O failover concludo quando todos os recursos ficam online no novo n.
Depois que o n offline voltar atividade, o servio de cluster poder executar o failback das instncias
que estavam originalmente hospedadas no n offline. Quando o servio de cluster fizer failback de uma
instncia, ele usar os mesmos procedimentos executados durante o failover. O servio de cluster coloca
todos os recursos da instncia offline, move a instncia e coloca todos os recursos da instncia online
novamente.
O que um quorum?
Quorum o nmero de elementos que devem
estar online para que o cluster continue a ser
executado. Cada n de cluster um elemento
e, efetivamente, cada elemento pode dar um
voto para determinar se o cluster continua em
execuo. Se houver um nmero par de ns,
um elemento adicional conhecido como
testemunha atribudo ao cluster.
O elemento testemunha pode ser um disco
ou um compartilhamento de arquivos. Cada
elemento de votao contm uma cpia da
configurao do cluster e o servio de cluster
trabalha para manter sempre todas as cpias sincronizadas.
10-9
O cluster deixar de fornecer proteo de failover se a maioria dos ns falhar, ou se houver um problema
de comunicao entre os ns do cluster. Sem um mecanismo de quorum, cada conjunto de ns pode
continuar funcionando como um cluster de failover. Isso resulta em uma partio dentro do cluster.
O quorum impede que dois ou mais ns usem um recurso de cluster de failover simultaneamente.
Se uma maioria clara no for obtida entre os membros de n, o voto da testemunha ser crucial para
manter a validade do cluster.
Operaes simultneas podem ocorrer quando problemas de rede impedem um conjunto de ns de
se comunicar com outro conjunto de ns. Ou seja, pode ocorrer um problema quando mais de um n
tenta controlar o acesso a um recurso. Se esse recurso for, por exemplo, um aplicativo de banco de dados,
danos como o corrompimento do banco de dados poderiam ser provocados. Imagine a consequncia
se duas ou mais instncias do mesmo banco de dados fossem disponibilizadas na rede, ou se os dados
fossem acessados e gravados em um destino a partir de mais de uma origem por vez. Se o prprio
aplicativo no estiver danificado, os dados podero ser facilmente corrompidos.
Como determinado cluster tem um conjunto especfico de ns e uma configurao de quorum especfica,
o cluster pode calcular o nmero de votos necessrios para ele continuar fornecendo proteo de failover.
Se o nmero de votos estiver abaixo da maioria, a execuo do cluster ser interrompida, o que significa
que ele no fornecer proteo de failover se um n falhar. Os ns ainda escutaro a presena de outros
ns, caso outro n aparea novamente na rede. Porm, os ns no funcionaro como um cluster at que
se obtenha o consenso da maioria ou o quorum.
Um cluster totalmente funcional no depende apenas do quorum, mas tambm da capacidade de
cada n de oferecer suporte aos servios e aplicativos que falham naquele n. Por exemplo, um cluster
que tem cinco ns ainda poderia ter quorum aps a falha dois ns, mas cada n restante do cluster
continuaria a atender os clientes somente se tivesse capacidade suficiente (como espao em disco, poder
de processamento, RAM ou largura de banda de rede) para oferecer suporte aos servios e aplicativos
que passaram por failover. Uma parte importante do processo de criao planejar a capacidade de
failover de cada n. Um n de failover deve ter capacidade para executar sua prpria carga e a carga
de recursos adicionais que possam passar por failover.
O processo de obteno do quorum

H vrias fases que um cluster deve concluir para obter um quorum. Quando determinado n fica online,
isso determina se h outros membros do cluster com quem ele pode se comunicar. Esse processo pode
estar em andamento em vrios ns ao mesmo tempo. Depois de estabelecer comunicao com outros
membros, os membros comparam suas exibies de associao do cluster at concordarem com uma
exibio (baseado em carimbos de data/hora e outras informaes). determinado se essa coleo de
membros tem um quorum ou membros suficientes cujo total cria votos o bastante para no haver um
cenrio de diviso.
Um cenrio de diviso significa que outro conjunto de ns que esto nesse cluster est executando
em uma parte da rede que inacessvel a esses ns. Portanto, mais de um n poderia estar tentando
ativamente fornecer acesso ao mesmo recurso clusterizado. Se no houver votos suficientes para obter
o quorum, os eleitores (os membros atualmente reconhecidos do cluster) aguardaro at que mais
membros apaream. Depois de obter ao menos o total mnimo de votos, o servio de cluster comea
a colocar os recursos e aplicativos do cluster em servio. Com o quorum obtido, o cluster torna-se
completamente funcional.
10-10
Modos de quorum no cluster de failover do Windows Server 2012

Os modos de quorum do cluster de failover do
Windows Server 2012 so os mesmos modos
presentes no Windows Server 2008. Assim como
antes, uma maioria de votos determina se um
cluster obtm o quorum. Os ns podem votar e,
onde apropriado, um disco do armazenamento
de cluster (conhecido como testemunha de disco)
ou um compartilhamento de arquivos (conhecido
como testemunha de compartilhamento de
arquivos) pode votar. Tambm h um modo
de quorum denominado Sem Maioria: Somente
Disco, que funciona como o quorum baseado
em disco no Windows Server 2003. Alm do modo Sem Maioria: Somente disco, no h um nico ponto
de falha com os modos de quorum, porque o que importa o nmero de votos, no se um elemento
especfico est disponvel para voto.
O modo de quorum do cluster de failover do Windows Server 2012 flexvel. Voc pode escolher o modo
mais adequado para seu cluster. Esteja ciente de que, na maioria dos casos, melhor usar o modo de
quorum que o software de cluster seleciona. Se voc executar o Assistente de Configurao de Quorum,
o modo de quorum que o assistente lista como recomendado o modo de quorum que o software de
cluster escolher. Voc deve alterar a configurao de quorum somente se determinar que a alterao
apropriada para seu cluster.
O cluster de failover do Windows Server 2012 tem quatro modos de quorum:
Maioria dos Ns. Cada n que est disponvel e em comunicao com outros ns pode
votar. O cluster funciona apenas com uma maioria (mais da metade) dos votos. Esse modelo
preferencial quando o cluster consiste em um nmero mpar de ns de servidor, e nenhuma
testemunha necessria para manter ou obter o quorum.
Maioria dos Ns e Discos. Cada n, mais a testemunha de disco, que um disco designado no
armazenamento de cluster, pode votar quando estiver disponvel e em comunicao. O cluster
funciona apenas com uma maioria (mais da metade) dos votos. Esse modelo baseado em
nmero par de ns de servidor que so capazes de se comunicar entre si no cluster, alm
da testemunha de disco.
Maioria dos Ns e Compartilhamentos de Arquivos. Cada n, mais a testemunha de

compartilhamento de arquivos, que um compartilhamento de arquivos designado criado
pelo administrador, pode votar quando estiver disponvel e em comunicao. O cluster funciona
apenas com uma maioria (mais da metade) dos votos. Esse modelo baseado em nmero par
de ns de servidor que so capazes de se comunicar entre si no cluster, alm da testemunha de
compartilhamento de arquivos.
Sem Maioria: Somente Disco. O cluster ter quorum se um n estiver disponvel e em comunicao
com um disco especfico no armazenamento de cluster. Somente os ns que tambm estiverem
em comunicao com esse disco podem se associar ao cluster.
10-11
Exceto pelo modo Sem Maioria: Somente Disco, todos os modos de quorum em clusters de failover
do Windows Server 2012 so baseados em um modelo de voto de maioria simples. Enquanto a maioria
dos votos estiver disponvel, o cluster continuar funcionando. Por exemplo, se houver cinco votos no
cluster, o cluster continuar funcionando contanto que haja no mnimo trs votos disponveis. A origem
dos votos no relevante o voto pode ser um n, uma testemunha de disco ou uma testemunha
de compartilhamento de arquivos. O cluster deixar de funcionar se a maioria de votos no estiver
disponvel.
No modo Sem Maioria: Somente Disco, o disco compartilhado por quorum pode vetar todos os outros
votos possveis. Nesse modo, o cluster continuar funcionando contanto que o disco compartilhado
por quorum e pelo menos um n esteja disponvel. Esse tipo de quorum tambm impede que mais
de um n assuma a funo primria.
Observao: Se o disco compartilhado por quorum no estiver disponvel, o cluster deixar
de funcionar, mesmo se todos os ns ainda estiverem disponveis. No modo Sem Maioria:
Somente Disco, o disco compartilhado por quorum um nico ponto de falha. Portanto,
esse modo no recomendado.
Quando voc configura um cluster de failover no Windows Server 2012, o Assistente de Instalao
seleciona automaticamente uma das duas configuraes padro. Por padro, o cluster de failover
seleciona:
A configurao Maioria dos Ns se houver um nmero mpar de ns no cluster.
A configurao Maioria dos Ns e Discos se houver um nmero par de ns no cluster.
Observao: Voc deve modificar essa configurao somente se determinar que uma
alterao apropriada para seu cluster, e somente quando voc entender as implicaes
de fazer a alterao.
Alm de planejar seu modo de quorum, voc deve considerar tambm a capacidade dos ns em seu
cluster, bem como capacidade deles de oferecer suporte aos servios e aplicativos que podem passar
por failover nesse n. Por exemplo, um cluster que tem quatro ns e uma testemunha de disco ainda
ter quorum depois que dois ns falharem. No entanto, se voc tiver vrios aplicativos ou servios
implantados no cluster, cada n restante do cluster talvez no tenha a capacidade de fornecer servios.
10-12
Redes do cluster de failover

Redes e adaptadores de rede so partes
importantes de cada implementao de
cluster. Voc no pode configurar um cluster
sem configurar as redes que o cluster usar.
Uma rede pode executar uma das seguintes
funes em um cluster:
Rede privada. Uma rede privada conduz a

comunicao interna dos clusters. Usando
essa rede, os ns de cluster trocam pulsaes
e procuram outros ns. O cluster de failover
autentica toda a comunicao interna. No
entanto, os administradores preocupados
especialmente com a segurana podem querer restringir a comunicao interna a redes fisicamente
seguras.
Rede pblica. Uma rede pblica proporciona aos clientes sistemas com acesso a servios de
aplicativos de cluster. Recursos de endereo IP so criados em redes que proporcionam aos
clientes o acesso ao servio de cluster.
Rede pblica e privada. Uma rede pblica e privada (tambm conhecida rede mista) conduz
a comunicao interna de clusters e conecta clientes a servios de aplicativos de cluster.
Na configurao de redes em clusters de failover, voc tambm deve determinar qual rede deve se
conectar ao armazenamento compartilhado. Se voc usar iSCSI para a conexo de armazenamento
compartilhada, a rede usar uma rede de comunicao Ethernet baseada em IP. No entanto, voc
no deve usar essa rede para comunicao de ns ou clientes. Compartilhar a rede iSCSI dessa maneira
pode resultar em problemas de conteno e latncia para os usurios e para o recurso que est sendo
fornecido pelo cluster.
Embora no seja uma prtica recomendada, voc pode usar as redes privadas e pblicas para
comunicaes de clientes e ns. Preferivelmente, voc deve dedicar uma rede isolada comunicao
privada de ns. O raciocnio para isso semelhante ao uso de uma rede Ethernet separada para iSCSI,
que evitar problemas de gargalo e conteno de recursos. A rede pblica configurada para habilitar
conexes de cliente com o cluster de failover. Embora a rede pblica possa fornecer backup para a rede
privada, uma prtica de design melhor definir redes alternativas para redes privadas e pblicas
primrias, ou pelo menos agrupar as interfaces de rede usadas nessas redes.
Os recursos de rede dos clusters baseados no Windows Server 2012 incluem o seguinte:
Os ns transmitem e recebem pulsaes usando unicast UDP, em vez da difuso UDP (que era usada
em clusters anteriores). As mensagens so enviadas pela porta 3343.
Voc pode incluir servidores clusterizados em sub-redes IP diferentes, o que reduz a complexidade
da configurao de clusters multissite.
10-13
O Adaptador Virtual de Cluster de Failover um dispositivo oculto adicionado a cada n quando

voc instala o recurso de cluster de failover. O adaptador atribudo a um endereo MAC baseado
no endereo MAC associado ao primeiro adaptador de rede fsico enumerado no n.
Os clusters de failover admitem IPv6 para a comunicao de n para n e de n para cliente.
Voc pode usar o protocolo DHCP para atribuir endereos IP, ou voc pode atribuir endereos IP
estticos a todos os ns no cluster. No entanto, se alguns ns tiverem endereos IP estticos e voc
configurar outros para usar o DHCP, o Assistente para Validar uma Configurao responder com
um erro. Os recursos de endereo IP do cluster so obtidos com base na configurao da interface
de rede que est oferecendo suporte rede desse cluster.
Armazenamento de cluster de failover

A maioria dos cenrios de cluster de failover
exigem armazenamento compartilhado para
fornecer dados consistentes a um servio ou
aplicativo altamente disponvel aps o failover.
H trs opes de armazenamento compartilhado
para um cluster de failover:
SAS (Serial Attached SCSI) compartilhada.

A SAS compartilhada a opo mais barata.
No entanto, a SAS compartilhada no
muito flexvel para implantao porque os
dois ns do cluster devem estar fisicamente
prximos. Alm disso, os dispositivos de
armazenamento compartilhado que aceitam a SAS compartilhada tm um nmero limitado
de conexes para ns de cluster.
iSCSI. iSCSI um tipo de SAN (rede de rea de armazenamento) que transmite comandos da
interface SCSI por redes IP. O desempenho aceitvel na maioria dos cenrios em que o meio fsico
para transmisso de dados tem Ethernet entre 1 Gbps e 10 Gbps. A implantao desse tipo de SAN
bem barata, pois no requer hardware de rede especializado. No Windows Server 2012, voc pode
implementar o software de destino iSCSI em qualquer servidor e apresentar o armazenamento local
pela interface iSCSI aos clientes.
Fiber Channel. As redes SAN Fiber Channel normalmente tm um desempenho melhor que as
redes SAN iSCSI, mas so mais caras. Conhecimento e hardware especializados so necessrios
para implementar uma rede SAN Fiber Channel.
Observao: Agora o Microsoft iSCSI Software Target um recurso integrado ao

Windows Server 2012. Esse recurso pode fornecer armazenamento de um servidor via
rede TCP/IP, incluindo armazenamento compartilhado para aplicativos hospedados em
um cluster de failover. Alm disso, no Windows Server 2012, voc pode configurar um
Servidor de Destino iSCSI como funo clusterizada usando o Gerenciador de Cluster
de Failover ou o Windows PowerShell.
10-14
Requisitos de armazenamento
Antes de escolher uma soluo de armazenamento, voc deve estar ciente dos seguintes requisitos
de armazenamento:
Para usar o suporte para disco nativo includo no cluster de failover, use discos bsicos e no discos
dinmicos.
Voc deve formatar as parties com NTFS. Para a testemunha de disco, a partio deve ser NTFS,
porque no h suporte para FAT.
Para o estilo de partio do disco, voc pode usar o MBR (registro mestre de inicializao)
ou a tabela GPT (tabela de partio de identificador exclusivo global).
Como as melhorias do cluster de failover exigem que o armazenamento responda corretamente

a comandos SCSI especficos, o armazenamento deve seguir o padro SPC-3. Em particular, o
armazenamento deve ter suporte para Reservas Persistentes, conforme especificado no padro SPC-3.
O driver de miniporta usado para o armazenamento deve funcionar com o driver de armazenamento
Storport. O Storport oferece uma arquitetura de maior desempenho e melhor compatibilidade com
Fiber Channel em sistemas operacionais Windows.
Voc deve isolar os dispositivos de armazenamento (um cluster por dispositivo). Voc no deve
permitir que servidores pertencentes a clusters diferentes acessem os mesmos dispositivos de
armazenamento. Voc pode fazer isso usando o mascaramento ou o zoneamento de LUN. Isso
impede que LUNs usadas em um cluster sejam vistas em outro cluster. Considere usar o software
MPIO (Entrada/sada de vrios caminhos). Os ns de cluster usam vrios adaptadores de barramento
de host comumente para acessar armazenamento, e isso permite obter alta disponibilidade adicional.
Para poder usar vrios adaptadores de barramento de host, voc deve usar o software MPIO. Para
o Windows Server 2012, sua soluo de vrios caminhos deve ser baseada no MPIO (Microsoft
Multipath I/O). Seu fornecedor de hardware normalmente fornece um DSM (mdulo especfico
de dispositivo) MPIO para seu hardware, embora o Windows Server 2012 inclua um ou mais
DSMs como parte do sistema operacional.
10-15
Lio 2
Implementao de um cluster de failover

Os clusters de failover do Windows Server 2012 tm configuraes de hardware e software recomendadas
especficas que permitem que a Microsoft oferea suporte ao cluster. Os clusters de failover tm
a finalidade de fornecer um nvel mais alto de servio do que os servidores autnomos. Portanto,
os requisitos de hardware do cluster so frequentemente mais rgidos do que os requisitos para
servidores autnomos.
Esta lio descreve como se preparar para a implementao de cluster. Nesta lio, tambm sero
abordados os requisitos de hardware, rede, armazenamento, infraestrutura e software para clusters
de failover do Windows Server 2012. Por fim, esta lio descreve as etapas para usar o Assistente
para Validar uma Configurao para garantir a configurao de cluster correta, e como migrar
clusters de failover.
Objetivos da lio
Explicar como se preparar para a implementao de cluster de failover.
Descrever os requisitos de hardware para cluster de failover.
Descrever os requisitos de rede para cluster de failover.
Descrever os requisitos de infraestrutura para cluster de failover.
Descrever os requisitos de software para cluster de failover.
Explicar como validar e configurar um cluster de failover.
Explicar como migrar clusters de failover.
Preparao para a implementao do cluster de failover

Antes de implementar o cluster de failover,
voc deve identificar os servios e aplicativos
que deseja tornar altamente disponveis. Voc
no pode aplicar o cluster de failover a todos
os aplicativos e, s vezes, os aplicativos tm
seus prprios mecanismos de redundncia.
Alm disso, voc deve estar ciente de que o
cluster de failover no fornece escalabilidade
aprimorada com a adio de ns. Somente
possvel obter escalabilidade aumentando
e usando mais hardware avanado para os
ns individuais. Portanto, voc deveria usar
o cluster de failover apenas quando sua meta for alta disponibilidade, e no escalabilidade.
No Windows Server 2012, h uma exceo para isso: se voc implementar Servios de Arquivo
em CSVs, tambm poder atingir um nvel de escalabilidade.
10-16
O cluster de failover mais adequado para aplicativos com monitorao de estado que so restritos a um
nico conjunto de dados. Um exemplo desse aplicativo um banco de dados. Os dados so armazenados
em um nico local e podem ser usados apenas por uma instncia de banco de dados. Voc tambm pode
usar o cluster de failover para mquinas virtuais do Hyper-V. Os melhores resultados do cluster de failover
ocorrem quando o cliente pode se reconectar automaticamente ao aplicativo aps o failover. Se o cliente
no se reconectar automaticamente, o usurio dever reiniciar o aplicativo cliente.
O cluster de failover usa apenas protocolos baseados em IP e, portanto, adequado somente a aplicativos
baseados em IP. Agora o cluster de failover oferece suporte apenas a IPv4 e IPv6.
Considere as seguintes diretrizes para planejar a capacidade de ns em um cluster de failover:
Distribua os aplicativos altamente disponveis de um n com falha. Quando todos os ns de um

cluster de failover estiverem ativos, os servios ou aplicativos altamente disponveis de um n com
falha devero ser distribudos entre os ns restantes para impedir a sobrecarga de um nico n.
Garanta que cada n tenha capacidade livre suficiente para atender os servios ou aplicativos
altamente disponveis que so alocados a ele quando outro n falhar. Essa capacidade livre deve
ser um buffer suficiente para evitar que os ns executem prximo da capacidade mxima aps
um evento de falha. A falta de planejamento adequado da utilizao de recursos pode resultar
na reduo de desempenho seguida da falha de ns.
Use hardware com capacidade similar para todos os ns de um cluster. Isso simplifica o processo
de planejamento para failover, porque a carga de failover ser distribuda uniformemente entre
os ns sobreviventes.
Use servidores em espera para simplificar o planejamento de capacidade. Quando um n passivo

includo no cluster, todos os servios ou aplicativos altamente disponveis de um n com falha
podem fazer failover no n passivo. Isso evita a necessidade de planejamento de capacidade
complexo. Se essa configurao for selecionada, ser importante que o servidor em espera
tenha capacidade suficiente para executar a carga de mais de uma falha de n.
Voc tambm deve examinar todos os componentes de configurao do cluster para identificar
pontos de falha isolados. Voc pode reparar muitos pontos de falha isolados com solues simples,
como adicionar controladores de armazenamento para separar e dividir discos ou agrupar adaptadores
de rede e usar software de mltiplos caminhos. Essas solues reduzem a probabilidade de que a falha
de um nico dispositivo causar uma falha no cluster. Normalmente, o hardware de computador da classe
de servidor tem opes para vrias fontes de alimentao para redundncia de energia e para criar uma
matriz redundante de conjuntos de discos independentes (RAID) para redundncia de dados em disco.
10-17
Requisitos de hardware para a implementao de cluster de failover

importante que voc tome decises
apropriadas ao selecionar o hardware para os
ns de cluster. Os clusters de failover devem
satisfazer os seguintes critrios para atender
aos requisitos de disponibilidade e suporte:
Todo o hardware que voc selecionar

para um cluster de failover deve atender
aos requisitos do logotipo Certificado
para o Windows Server 2012. O hardware
que possui esse logotipo foi testado de
forma independente para atender aos
mais altos padres tcnicos de confiabilidade,
disponibilidade, estabilidade, segurana e compatibilidade de plataforma. Esse logotipo tambm
significa que existem opes de suporte oficiais em caso de mau funcionamento.
Voc deve instalar o mesmo hardware ou similar em cada n do cluster de failover. Por exemplo,
se voc escolher um modelo especfico de adaptador de rede, dever instalar esse adaptador em
cada n do cluster.
Se voc estiver usando conexes de armazenamento SAS ou Fiber Channel, os controladores

de dispositivo de armazenamento em massa dedicados ao armazenamento do cluster devero
ser idnticos em todos os servidores clusterizados. Eles tambm devem usar a mesma verso
de firmware.
Se voc estiver usando conexes de armazenamento iSCSI, cada servidor clusterizado dever ter um
ou mais adaptadores de rede ou adaptadores de barramento de host dedicados ao armazenamento
de cluster. A rede que voc usa para conexes de armazenamento iSCSI no deve ser usada para
comunicao de rede. Em todos os servidores clusterizados, os adaptadores de rede que voc usa
para conectar-se ao destino de armazenamento iSCSI e recomendamos o uso de Ethernet de 1 Gbps
ou mais.
Depois de configurar os servidores com o hardware, todos os testes fornecidos no Assistente

para Validar uma Configurao devero ser aprovados antes de o cluster ser considerado
uma configurao com suporte da Microsoft.
10-18
Requisitos de rede para a implementao de cluster de failover

Um dos requisitos de rede para a
implementao de cluster de failover que os
componentes de hardware da rede do cluster
de failover devem ter o logotipo Certificado
para o Windows Server 2012, e tambm
devem ser aprovados nos testes do Assistente
para Validar uma Configurao. Alm disso:
Os adaptadores de rede em cada n

devem ser idnticos e ter a mesma
verso de protocolo IP, velocidade,
duplex e capacidade de controle de fluxo.
As redes e os equipamentos de rede aos quais

voc conecta os ns devem ser redundantes de forma que mesmo uma nica falha permita que os
ns continuem se comunicando. Voc pode usar o agrupamento de adaptadores de rede para
fornecer redundncia de rede nica. Recomendamos vrias redes para fornecer vrios caminhos
entre ns para a comunicao entre ns. Caso contrrio, um aviso ser gerado durante o processo
de validao.
Os adaptadores de rede em uma rede de cluster devem ter o mesmo mtodo de atribuio de
endereo IP, o que significa que todos eles usam endereos IP estticos, ou que todos eles usam
o DHCP.
Observao: Se voc conectar os ns do cluster a uma nica rede, a rede passar no

requisito de redundncia do Assistente para Validar uma Configurao. No entanto, o relatrio
do assistente incluir um aviso de que a rede no deve ter pontos de falha isolados.
Requisitos de infraestrutura para a implementao de cluster de failover

Os clusters de failover dependem de servios
de infraestrutura. Cada n de servidor deve
estar no mesmo domnio do Active Directory e,
se voc usar o DNS (Sistema de Nomes de
Domnio), os ns devero usar os mesmos
servidores DNS para a resoluo de nomes.
Recomendamos instalar os mesmos recursos e
funes do Windows Server 2012 em cada n.
A configurao inconsistente em ns de cluster
pode causar problemas de instabilidade e
desempenho. Alm disso, voc no deve instalar
a funo AD DS nos ns de cluster, pois o AD DS
tem seu prprio mecanismo de tolerncia a falhas. Se voc instalar a funo AD DS em um dos ns,
dever instal-la em todos os ns. No entanto, no recomendamos isso.
10-19
Voc deve ter a seguinte infraestrutura de rede um cluster de failover:
Configuraes de rede e endereos IP. Quando voc usa adaptadores de rede idnticos para uma
rede, usa tambm configuraes de comunicao idnticas, como velocidade, modo duplex, controle
de fluxo e tipo de mdia, nesses adaptadores. Compare tambm as configuraes entre o adaptador
de rede e o comutador ao qual se conecta e verifique se no h conflito entre as configuraes.
Caso contrrio, poder ocorrer congestionamento de rede ou perda de quadros, o que afetaria
negativamente a forma como os ns do cluster se comunicam entre si, com clientes ou com
sistemas de armazenamento.
Sub-redes exclusivas. Se voc tiver redes privadas no roteadas para o restante da infraestrutura
de rede, certifique-se de que cada uma dessas redes privadas use uma sub-rede exclusiva. Isso
necessrio mesmo que voc atribua a cada adaptador de rede um endereo IP exclusivo. Alm disso,
esses endereos de rede privados no devem ser registrados no DNS. Por exemplo, se voc tiver um
n de cluster em uma matriz que usa uma rede fsica e outro n em uma filial que usa uma rede fsica
separada, no especifique 10.0.0.0/24 para ambas as redes, mesmo se voc atribuir a cada adaptador
um endereo IP exclusivo. Isso evitar loops de roteamento e outros problemas de comunicaes
de rede se, por exemplo, os segmentos forem configurados acidentalmente no mesmo domnio
de coliso devido a atribuies incorretas de rede local virtual (VLAN).
DNS. Os servidores no cluster usam normalmente o DNS para resoluo de nomes. O protocolo
de atualizao dinmica DNS uma configurao com suporte.
Funo de domnio. Todos os servidores no cluster devem estar no mesmo domnio do

Active Directory. Como prtica recomendada, todos os servidores clusterizados devem ter a mesma
funo de domnio (servidor membro ou controlador de domnio). A funo recomendada servidor
membro porque o AD DS inclui seu prprio mecanismo de proteo de failover inerentemente.
Conta para administrar o cluster. Para administrar o cluster, voc deve ter uma conta com as
permisses apropriadas. Voc deve ter direitos de administrador local em todos os ns que
participam do cluster. Alm disso, quando voc criar o cluster, dever ter o direito de criar novos
objetos em domnios. Voc pode fazer isso com a conta de Admin do Domnio, ou pode delegar
esses direitos a outra conta de domnio.
No Windows Server 2012, no h uma conta de servio de cluster. Em vez disso, o servio de cluster
executado automaticamente em um contexto especial que fornece as permisses e credenciais especficas
que so necessrias para o servio (similar ao contexto de sistema local, mas com menos credenciais).
Quando um cluster de failover criado e um objeto de computador correspondente criado no AD DS,
esse objeto configurado para impedir a excluso acidental. Alm disso, o recurso Nome da Rede do
cluster tem uma lgica de verificao de integridade adicional, que verifica periodicamente a integridade
e as propriedades do objeto de computador que representa o recurso Nome da Rede.
10-20
Requisitos de software para a implementao de cluster de failover

Os clusters de failover exigem que cada
n de cluster deve executar a mesma edio
do Windows Server 2012. A edio pode
ser o Windows Server 2012 Standard ou
Windows Server 2012 Datacenter. Os ns
tambm devem ter as mesmas atualizaes de
software e os mesmos service packs. Dependendo
da funo que ser clusterizada, uma instalao
Server Core do Windows Server 2012 tambm
pode atender aos requisitos de software. No
Windows Server 2012, Server Core a opo
de instalao padro e, portanto, voc deve
consider-la como um n de cluster. No entanto, voc tambm pode instalar o Cluster de Failover
em uma verso de GUI completa.
Tambm importante que a mesma verso de service packs ou qualquer atualizao do sistema
operacional exista em todos os ns de um cluster.
Observao: O Windows Server 2012 fornece a tecnologia Atualizao com Suporte a
Cluster que pode ajudar voc a manter as atualizaes em ns de cluster. Esse recurso ser
abordado posteriormente em mais detalhes na Lio 4: Manuteno de um cluster de failover.
Cada n deve executar a mesma arquitetura de processador. Isso significa que cada n deve ter a
mesma famlia de processadores, que poderia ser, por exemplo, a famlia de processadores Intel Xeon
com tecnologia Extended Memory 64, a famlia de processadores AMD Opteron AMD64 ou Intel Itanium.
Demonstrao: Validao e configurao de um cluster de failover

O Assistente para Validar uma Configurao executa testes que confirmam se as configuraes de
hardware e software so compatveis com o cluster de failover. Usando o assistente, voc pode executar
o conjunto completo de testes de configurao ou um subconjunto dos testes. Voc deve executar os
testes em servidores e dispositivos de armazenamento antes de configurar o cluster de failover, e mais
uma vez depois de fazer qualquer alterao importante no cluster. Voc pode acessar os resultados
dos testes no diretrio %windir%\cluster\Reports.
Nesta demonstrao, voc ver como validar e configurar um cluster.
10-21
Validar e configurar um cluster
1.
Inicie o Gerenciador de Cluster de Failover no LON-SVR3.
2.
Inicie o Assistente para Validar uma Configurao.
3.
Revise o relatrio.
4.
Crie um novo cluster. Adicione LON-SVR3 e LON-SVR4 como ns do cluster.
5.
Nomeie o cluster como Cluster1.
6.
Use 172.16.0.125 como endereo IP.
Migrao de clusters de failover

Em alguns cenrios, como substituir ns de cluster
ou atualizar para uma verso mais recente de
um sistema operacional Windows, voc precisar
migrar funes ou servios clusterizados de um
cluster para outro. No Windows Server 2012,
possvel migrar funes clusterizadas e a
configurao de clusters que executam o
Windows Server 2012, Windows Server 2008 R2 ou
Windows Server 2008. Voc pode migrar essas
funes e configuraes de uma das duas formas:
Migrar de um cluster existente para

um novo cluster que est executando
o Windows Server 2012. Nesse cenrio, voc tem dois novos ns de cluster que executam
o Windows Server 2012, e voc executa a migrao de um cluster existente com ns que
executam o Windows Server 2008 ou mais recente.
Executar uma migrao in-loco em um cluster de dois ns. Esse cenrio mais complexo, onde
voc deseja migrar um cluster para uma verso mais recente do sistema operacional Windows.
Nesse cenrio, voc no tem computadores adicionais para novos ns de cluster. Por exemplo,
voc pode querer atualizar um cluster atualmente em execuo no Windows Server 2008 R2 para
um cluster que execute o Windows Server 2012. Para conseguir isso, voc deve remover recursos
de um n primeiro e depois excluir esse n de um cluster. Em seguida, voc executa uma instalao
limpa do Windows Server 2012 nesse servidor. Depois que o Windows Server 2012 instalado, voc
cria um cluster de failover de um n, migra os servios e aplicativos clusterizados do n de cluster
antigo para esse cluster de failover e depois remove o n antigo do cluster. A ltima etapa instalar
o Windows Server 2012 em outro n de cluster, juntamente com o recurso de cluster de failover,
adiciona o servidor ao cluster de failover e executa testes de validao para confirmar se a
configurao global funciona corretamente.
O Assistente de Migrao de Cluster uma ferramenta que permite migrar funes clusterizadas.
Como o Assistente de Migrao de Cluster no copiar dados de um local de armazenamento para
outro, voc deve copiar ou mover dados ou pastas (inclusive configuraes de pasta compartilhada)
durante a migrao. Alm disso, o Assistente de Migrao de Cluster no migra informaes de ponto
de montagem (informaes sobre unidades de disco rgido que no usam letras de unidades e
so montadas em uma pasta em outra unidade de disco rgido). No entanto, possvel migrar
configuraes de recursos de discos fsicos de e para discos que usam pontos de montagem.
10-22
Lio 3
Configurao de aplicativos e servios altamente

disponveis em um cluster de failover
Depois de configurar a infraestrutura de cluster, voc deve configurar funes ou servios especficos
para serem altamente disponveis. Nem todas as funes podem ser clusterizadas. Portanto, voc
deve identificar primeiro o recurso que deseja colocar em um cluster e depois verificar h suporte
para esse recurso. Nesta lio, voc aprender a configurar funes e aplicativos em clusters e
como definir configuraes de cluster.
Objetivos da lio
Descrever e identificar recursos e servios de cluster.
Descreva o processo de clustering de funes de servidor.
Explicar como clusterizar uma funo de servidor de arquivos.
Explicar como configurar as propriedades do cluster de failover.
Explicar como gerenciar ns de cluster.
Explicar como definir as configuraes de failover do aplicativo.
Identificao de recursos e servios de cluster

Servios clusterizados so servios ou aplicativos
que se tornam altamente disponveis quando
instalados em um cluster de failover.
Os servios clusterizados so ativos em um
n, mas podem ser movidos para outro n.
Um servio clusterizado que contm um recurso
de endereo IP e um recurso de nome de rede
(e outros recursos) publicado em um cliente
na rede com um nome de servidor exclusivo.
Como esse grupo de recursos exibido como
um nico servidor lgico para os clientes,
ele chamado de instncia clusterizada.
Os usurios acessam aplicativos ou servios em uma instncia da mesma maneira que o fariam se os
aplicativos ou servios estivessem em um servidor no clusterizado. Normalmente, os aplicativos ou
usurios no sabem que esto se conectando a um cluster, nem o n ao qual esto conectados.
Recursos so entidades fsicas ou lgicas como um compartilhamento de arquivos, disco ou endereo
IP que o cluster de failover gerencia. Os recursos so as unidades configurveis mais bsicas e menores
que podem fornecer um servio a clientes, ou podem ser uma parte importante do cluster. A qualquer
momento, um recurso pode ser executado apenas em um n do cluster e est online em um n quando
fornece seu servio para esse n especfico.
10-23
Recursos de cluster de servidores

Um recurso de cluster qualquer componente fsico ou lgico que tem as seguintes caractersticas:
Pode ser colocado online e offline.
Pode ser gerenciado em um cluster de servidores.
Pode ser hospedado (de propriedade) por apenas um n por vez.
Para gerenciar recursos, o servio de cluster se comunica com uma DLL de recursos por meio de um
monitor de recursos. Quando o servio de cluster faz uma solicitao de recurso, o monitor de recursos
chama a funo de ponto de entrada apropriada na DLL de recursos para verificar e controlar o estado
do recurso.
Recursos dependentes
Um recurso dependente um recurso que exige outro recurso para funcionar. Por exemplo, como
um nome de rede deve ser associado a um endereo IP, um nome de rede considerado um recurso
dependente. Devido a esse requisito, um recurso de nome de rede depende de um recurso de endereo
IP. Os recursos dependentes so colocados offline antes de os recursos dos quais dependem serem
colocados offline. Da mesma forma, eles so colocados online depois que os recursos dos quais
dependem serem colocados online. Um recurso pode especificar um ou mais recursos dos quais
dependente. As dependncias de recurso tambm determinam as associaes. Por exemplo, os
clientes sero associados ao endereo IP especfico do qual um recurso de nome de rede depende.
Quando voc for criar dependncias de recurso, considere o fato que, embora algumas dependncias
sejam estritamente exigidas, outras no so necessrias, mas so recomendadas. Por exemplo, um
compartilhamento de arquivos que no raiz de um DFS (Sistema de Arquivos Distribudo) no tem
dependncias exigidas. No entanto, se o recurso de disco que contm o compartilhamento de arquivos
falhar, o compartilhamento de arquivos ficar inacessvel aos usurios. Portanto, lgico tornar
o compartilhamento de arquivos dependente do recurso de disco.
Um recurso tambm pode especificar uma lista de ns em que pode ser executado. Os ns e
as dependncias possveis so consideraes importantes quando os administradores organizam
recursos em grupos.
10-24
Processo de clustering de funes de servidor

O cluster de failover oferece suporte ao clustering
de vrias funes de servidor do Windows, como
Servios de Arquivo, DHCP e Hyper-V. Para
implementar o clustering de uma funo de
servidor ou de aplicativos externos, como
SQL Server ou Exchange Server, execute
este procedimento:
1.
Instale o recurso de cluster de failover.

Use o Gerenciador do Servidor, dism.exe,
ou o Windows PowerShell para instalar o
recurso de cluster de failover em todos os
computadores que sero membros do cluster.
No Windows Server 2012, voc pode instalar funes e recursos em vrios servidores
simultaneamente usando apenas um console do Gerenciador do Servidor.
2.
Verifique a configurao e crie um cluster com os ns apropriados. Use o snap-in Gerenciador

de Cluster de Failover para validar uma configurao primeiro e depois crie um cluster com
os ns selecionados.
3.
Instale a funo em todos os ns do cluster. Use o Gerenciador do Servidor, dism.exe, ou

o Windows PowerShell para instalar a funo de servidor que voc deseja usar no cluster.
4.
Crie um aplicativo clusterizado usando o snap-in Gerenciador de Cluster de Failover.
5.
Configure o aplicativo. Configure as opes no aplicativo que est sendo usado no cluster.
6.
Teste o failover. Use o snap-in Gerenciamento de Cluster de Failover para testar o failover movendo
intencionalmente o servio de um n para outro.
Depois de criar o cluster, voc pode monitorar seu status usando o console Gerenciamento de Cluster
de Failover e gerenciar as opes disponveis.
Demonstrao: Clustering de uma funo de servidor de arquivos

Nesta demonstrao, voc ver como clusterizar uma funo de servidor de arquivos.
Clusterizar uma funo de servidor de arquivos
1.
Em LON-SVR3, adicione Disco de Cluster 2 como armazenamento de cluster para Cluster1.
2.
Configure Servidor de Arquivos como funo clusterizada.
3.
Configure um Servidor de Arquivos para uso geral.
4.
Para o nome do Ponto de Acesso do Cliente, digite Adatum-FS com o endereo 172.16.0.55.
5.
Use Disco de Cluster 2 para o armazenamento para AdatumFS.
10-25
Configurao das propriedades de um cluster de failover

Ao criar um cluster, o cluster recm-criado tem
muitas propriedades que voc pode configurar.
Ao abrir Propriedades do Cluster, voc pode
configurar um nome de cluster ou alterar o
nome, adicionar vrios tipos de recursos como
um endereo IP e nome de rede ao cluster e
configurar permisses do cluster. Configurando
permisses, voc determina quem pode ter
controle total sobre esse cluster especfico
e quem pode ler a configurao do cluster.
Alm disso, voc pode executar algumas
tarefas de gerenciamento padro em cada
cluster periodicamente ou sob demanda. Essas tarefas variam da adio e remoo de ns de cluster
modificao das configuraes de quorum. Algumas das tarefas de configurao usadas com mais
frequncia incluem:
Gerenciar ns de cluster. Para cada n em um cluster, voc pode interromper o servio de cluster
temporariamente, pausar o servio, iniciar a rea de trabalho remota para o n ou pode excluir
o n do cluster.
Gerenciar redes de clusters. Voc pode adicionar ou remover redes de clusters e configurar as redes
que sero dedicadas comunicao entre clusters.
Gerenciar permisses. Gerenciando permisses, voc pode delegar direitos para administrar
um cluster.
Configurar parmetros de quorum do cluster: definindo as configuraes de quorum, voc determina

o modo com que o quorum obtido e quem pode ter voto em um cluster.
Migrar servios e aplicativos para um cluster. Voc pode implementar servios existentes no cluster
e torn-los altamente disponveis.
Configurar novos servios e aplicativos para funcionar em um cluster. Voc pode implementar novos
servios no cluster.
Remover um cluster. Voc pode remover um cluster se decidir parar de us-lo ou se quiser mover
o cluster para outro conjunto de ns.
Voc pode executar a maioria dessas tarefas administrativas usando o console Gerenciamento de Cluster
de Failover ou o Windows PowerShell. No entanto, o Cluster.exe, que era usado em algumas dessas
tarefas em verses anteriores do sistema operacional Windows Server, no tem mais suporte no
Windows Server 2012 e no faz parte da instalao padro.
10-26
Gerenciamento de ns de cluster
Os ns de cluster so obrigatrios em cada
cluster. Depois de criar um cluster e coloc-lo
em produo, talvez seja preciso gerenciar
ocasionalmente os ns do cluster. Voc pode
gerenciar os ns do cluster usando o console
Gerenciamento de Cluster de Failover ou
o Windows PowerShell. H trs partes
para gerenciar os ns do cluster:
Voc pode adicionar um n a um cluster

de failover estabelecido clicando em
Adicionar N no painel Aes de
Gerenciamento de Cluster de Failover do
console do Gerenciador de Cluster de Failover. O Assistente para Adicionar Ns solicitar informaes
sobre o n adicional.
Voc pode pausar um n para impedir que recursos passem por failover ou sejam movidos para o
n. Normalmente, voc pausa um n quando ele passa por manuteno ou soluo de problemas.
Durante a pausa de um n, voc pode optar por drenar funes desse n.
Voc pode excluir um n, que um processo irreversvel para um n de cluster. Depois de excluir
o n, ele dever ser readicionado ao cluster. Voc exclui ns quando um n danificado alm do
reparo ou no mais necessrio no cluster. Se voc excluir um n danificado, poder repar-lo
ou substitu-lo e depois readicion-lo ao cluster usando o Assistente para Adicionar Ns.
Definio das configuraes de failover de aplicativos

Voc pode ajustar as configuraes de failover,
inclusive as configuraes de proprietrios
preferenciais e failback, controlar como o cluster
responde quando o aplicativo ou servio falha.
Voc pode definir essas configuraes na folha
de propriedades do servio ou aplicativo
clusterizado (ou na guia Geral ou Failover).
10-27
A tabela a seguir fornece exemplos de como essas configuraes funcionam.

Configurao
Result
Exemplo 1:
Guia Geral, Proprietrio preferencial: N1
Guia Failover, Configurao de failback:
Permitir failback (Imediatamente)
Se o servio ou aplicativo passar por failover do

N1 para o N2, quando o N1 estiver disponvel
novamente, o servio ou aplicativo passar por
failback no N1.
Exemplo 2:
Guia Failover, Mximo de falhas
no perodo especificado: 2
Guia Failover, Perodo (horas): 6
Em um perodo de seis horas, se o aplicativo ou

servio falhar no mais que duas vezes, ele ser
reiniciado ou passar por failover todas as vezes.
Se o aplicativo ou servio falhar uma terceira vez
no perodo de seis horas, ele permanecer no
estado de falha.
O valor padro para o nmero de falhas n-1,
onde n corresponde ao nmero de ns. Voc
pode alterar o valor, mas recomendamos usar um
valor bem baixo para que, se vrias falhas de n
ocorrerem, o aplicativo ou servio no seja movido
indefinidamente entre ns.
10-28
Lio 4
Manuteno de um cluster de failover

Quando sua infraestrutura de cluster estiver em execuo, voc precisar estabelecer o monitoramento
para evitar possveis falhas. Alm disso, importante que voc tenha procedimentos de backup e
restaurao da configurao do cluster. O Windows Server 2012 tem uma nova tecnologia que permite
atualizar ns de cluster sem tempo de inatividade. Nesta lio, voc aprender a monitorar clusters
de failover, fazer backup e restaurar configuraes do cluster e atualizar ns de cluster.
Objetivos da lio
Explicar como monitorar clusters de failover.
Explicar como fazer backup e restaurar uma configurao de cluster de failover.
Explicar como manter e solucionar problemas de clusters de failover.
Descrever o recurso Atualizao com Suporte a Cluster.
Configurar o recurso Atualizao com Suporte a Cluster.
Monitoramento de clusters de failover

Muitas ferramentas esto disponveis no
Windows Server 2012 para ajudar voc a
monitorar clusters de failover. Voc pode usar
as ferramentas padro do Windows Server,
como o Visualizador de Eventos e o snap-in
Monitor de Desempenho e Confiabilidade,
para revisar logs de eventos de cluster e
mtricas de desempenho. Voc tambm
pode usar Tracerpt.exe para exportar dados
para anlise. Alm disso, voc pode usar
os relatrios de configurao de cluster em
formato MHTML e o Assistente para Validar
uma Configurao para solucionar problemas de configurao do cluster e alteraes de hardware.
Como a ferramenta de linha de comando cluster.exe foi preterida no Windows Server 2012, voc
pode usar o Windows PowerShell para executar tarefas similares.
10-29
Visualizador de Eventos
Quando problemas ocorrerem no cluster, voc usa o Visualizador de Eventos para ver os eventos com
nvel de gravidade Crtico, Erro ou Advertncia. Alm disso, eventos de nvel informativo so registrados
no log de Operaes de cluster de failover, que pode ser localizado no Visualizador de Eventos e na
pasta Applications and Services Logs\Microsoft\Windows. Os eventos de nvel informativo so geralmente
operaes comuns do cluster, como ns que saem do ou entram no cluster, ou recursos que esto offline
ou online.
Em verses anteriores do Windows Server, os logs de eventos eram replicados em cada n do cluster.
Isso simplificava a soluo de problemas de cluster, porque voc podia revisar todos os logs de eventos
em um nico n de cluster. O Windows Server 2012 no replica os logs de eventos entre ns. No entanto,
o snap-in Gerenciamento de Cluster de Failover tem a opo Eventos de Cluster que permite ver e filtrar
eventos de todos os ns de cluster. Esse recurso til para correlacionar eventos entre ns de cluster.
O snap-in Gerenciamento de Cluster de Failover tambm fornece a opo Eventos de Cluster Recentes,
que consultar todos os eventos de Erro e Advertncia de todos os ns de cluster nas ltimas 24 horas.
Voc pode acessar logs adicionais, como os logs Analticos e de Depurao, no Visualizador de Eventos.
Para exibir esses logs, modifique a exibio no menu superior selecionando a opo Mostrar Logs
Analticos e de Depurao.
Rastreamento de Eventos do Windows

Rastreamento de Eventos do Windows um componente kernel disponvel logo aps a inicializao
e no final do encerramento. Sua finalidade permitir o rastreamento e a entrega rpida de eventos,
para rastrear arquivos e consumidores. Como foi criado para ser rpido, o Rastreamento de Eventos do
Windows permite apenas a filtragem bsica de eventos em processo com base nos atributos dos eventos.
O log de rastreamento de eventos contm uma contabilidade abrangente das aes de cluster de failover.
Dependendo de como voc deseja exibir os dados, use o Windows PowerShell ou Tracerpt.exe para
acessar as informaes no log de rastreamento de eventos.
Tracerpt.exe apenas analisa os logs de rastreamento de eventos no n em que executado. Todos os logs
individuais so coletados em um local central. Para transformar o arquivo XML em um arquivo de texto
ou HTML que possa ser aberto no Windows Internet Explorer, voc pode analisar o arquivo baseado em
XML usando o prompt de comando de anlise msxsl.exe tool do Microsoft XSL e uma folha de estilos XSL.
Snap-in Monitor de Desempenho e Confiabilidade

O snap-in Monitor de Desempenho e Confiabilidade permite:
Traar a tendncia de desempenho do aplicativo em cada n. Para saber como um aplicativo est se
saindo, voc pode ver e traar a tendncia de informaes especficas sobre os recursos do sistema
que esto sendo usados em cada n.
Traar a tendncia de falhas e a estabilidade do aplicativo em cada n. Voc pode definir quando
as falhas do aplicativo ocorrem, e corresponder as falhas do aplicativo a outros eventos do n.
Modificar as configuraes do log de rastreamento. Voc pode iniciar, interromper e ajustar os logs
de rastreamento, inclusive o tamanho e o local.
10-30
Backup e restaurao da configurao do cluster de failover

A configurao do cluster pode ser um processo
demorado com muitos detalhes. Portanto, o
backup da configurao do cluster importante.
Voc pode executar o backup e a restaurao
da configurao do cluster usando o Backup do
Windows Server ou uma ferramenta de backup
que no seja Microsoft.
Quando voc fizer backup da configurao do
cluster, esteja ciente do seguinte:
Voc deve testar seu processo de backup e

recuperao antes de colocar um cluster em
produo.
Voc deve adicionar o recurso Backup do Windows Server primeiro, se voc decidir us-lo. Voc pode
fazer isso usando o Gerenciador do Servidor, usando dism.exe, ou usando o Windows PowerShell.
Backup do Windows Server o recurso de backup e recuperao interno do Windows Server 2012.
Para concluir um backup com xito, considere o seguinte:
Para um backup ser bem-sucedido em um cluster de failover, o cluster deve estar em execuo
e deve ter quorum. Em outras palavras, ns suficientes devem estar em execuo e comunicar
(talvez com um disco testemunha ou compartilhamento de arquivos de testemunha dependendo
da configurao de quorum) que o cluster obteve o quorum.
Voc deve fazer backup de todos os aplicativos clusterizados. Se voc clusterizar um banco de
dados do SQL Server, dever ter um plano de backup para os bancos de dados e configuraes
fora da configurao do cluster.
Se for necessrio fazer backup dos dados de aplicativos, os discos nos quais voc armazena os dados
devem estar disponveis para o software de backup. Voc pode conseguir isso executando o software
de backup no n de cluster que possui o recurso de disco, ou executando um backup no recurso
clusterizado atravs da rede. Se voc estiver usando CSVs, poder executar o backup em qualquer
n conectado ao volume CSV.
O servio de cluster rastreia a configurao de cluster mais recente e replica essa configurao
e, todos os ns de cluster. Se o cluster tiver um disco testemunha, o servio de cluster tambm
replicar a configurao no disco testemunha.
10-31
Restaurao de um cluster
H duas formas de restaurar um cluster:
Restaurao no autoritativa. Use a restaurao no autoritativa quando um nico n do cluster

estiver danificado ou for recriado, e o restante do cluster estiver funcionando corretamente. Execute
uma restaurao no autoritativa restaurando as informaes de recuperao do sistema (estado
do sistema) no n danificado. Quando voc reiniciar esse n, ele se unir ao cluster e receber a
configurao mais recente do cluster automaticamente.
Restaurao autoritativa. Use uma restaurao autorizada quando a configurao do cluster tiver de
ser revertida para um ponto anterior. Por exemplo, use a restaurao autorizada se um administrador
remover recursos clusterizados acidentalmente ou modificar outras configuraes do cluster.
Execute a restaurao autorizada interrompendo o recurso de cluster em cada n e executando uma
recuperao do sistema (estado do sistema) em um nico n usando o Backup do Windows Server.
Depois que o n restaurado reiniciar o servio de cluster, os ns de cluster restantes tambm podero
iniciar o servio de cluster.
Manuteno e soluo de problemas de clusters de failover

A funcionalidade de validao de cluster no
cluster de failover do Windows Server 2012
ajuda a impedir configuraes erradas e clusters
que no funcionam. No entanto, em algumas
situaes, voc ainda pode ter de executar
manuteno ou solucionar problemas de cluster.
Algumas tarefas comuns de manuteno
que podem ajudar a evitar problemas
de configurao de cluster so:
Usar o Assistente para Validar uma

Configurao para realar os problemas
de configurao que poderiam causar
problemas de cluster.
Revisar eventos de cluster e logs de rastreamento para identificar problemas de aplicativo

ou hardware que poderiam causar a instabilidade do cluster.
Revisar eventos de hardware e logs para ajudar a definir componentes de hardware especficos
que poderiam causar a instabilidade do cluster.
Revisar componentes da rede SAN, comutadores, adaptadores e controladores de armazenamento

para ajudar a identificar qualquer problema em potencial.
10-32
Para solucionar problemas de clusters de failover:
Identifique o problema percebido coletando e documentando os sintomas do problema.
Identifique o escopo do problema de forma que voc possa entender o que est sendo afetado
pelo problema e o impacto desse efeito no aplicativo e nos clientes.
Colete informaes de forma que voc possa entender e definir o possvel problema com preciso.
Depois de identificar uma lista de possveis problemas, voc pode prioriz-los por probabilidade
ou pelo impacto de um reparo. Se voc no conseguir definir o problema, tentar recri-lo.
Crie uma agenda para reparar o problema. Por exemplo, se o problema afetar apenas um pequeno
subconjunto de usurios, voc poder adiar o reparo para um perodo fora do horrio de pico para
poder agendar o tempo de inatividade.
Conclua e teste cada reparo individualmente de forma que voc possa identificar a correo.
Para solucionar problemas de rede SAN, comece verificando as conexes fsicas e os logs de cada
componente de hardware. Alm disso, execute o Assistente para Validar uma Configurao para
verificar se a configurao atual do cluster ainda tem suporte.
Observao: Quando voc executar o Assistente para Validar uma Configurao, verifique
se os testes de armazenamento selecionados podem ser executados em um cluster de failover
online. Vrios testes de armazenamento causam perda de servio no disco clusterizado durante
a execuo.
Soluo de problemas de falhas em grupos e recursos

Para solucionar problemas de falhas em grupos e recursos:
Use o Visualizador de Dependncia no snap-in Gerenciador de Cluster de Failover para identificar

recursos dependentes.
Verifique se h erros de recursos dependentes no Visualizador de Eventos e nos logs de rastreamento.
Determine se o problema acontece apenas em um n ou ns especficos, tentando recriar

o problema em ns diferentes.
O que atualizao com suporte a cluster?

Aplicar atualizaes do sistema operacional
Windows aos ns de um cluster requer ateno
redobrada. Se voc quiser fornecer zere tempo
de inatividade para uma funo clusterizada,
dever atualizar os ns de cluster manualmente,
um aps o outro, e dever mover manualmente
os recursos do n que voc est atualizando
para outro n. Este procedimento pode ser
muito demorado. No Windows Server 2012,
um novo recurso atualiza os ns de cluster
automaticamente para voc.
10-33
A CAU (Atualizao com suporte a cluster) um recurso do Windows Server 2012 que permite que
os administradores atualizem ns de cluster automaticamente, com pouca ou nenhuma perda de
disponibilidade durante o processo de atualizao. Durante um procedimento de atualizao, a CAU
coloca cada n de cluster offline de forma transparente, instala as atualizaes e qualquer atualizao
dependente, executa uma reinicializao quando necessrio, coloca o n online novamente e passa
para a atualizao do prximo n em um cluster.
Para muitas funes clusterizadas, esse processo de atualizao automtica dispara um failover planejado
e pode causar uma interrupo de servio transiente para clientes conectados. No entanto, para cargas
de trabalho continuamente no Windows Server 2012 como Hyper-V com migrao ao vivo ou servidor
de arquivos com Failover Transparente SMB a CAU pode orquestrar atualizaes de cluster sem afetar
a disponibilidade do servio.
Modos de atualizao de cluster

A CAU pode orquestrar a operao de atualizao de cluster completa de dois modos:
Modo de atualizao remota. Nesse modo, um computador que est executando o

Windows Server 2012 ou o Windows 8 chamado e configurado como orquestrador.
Para configurar um computador como orquestrador de CAU, voc deve instalar ferramentas
administrativas de cluster de failover nele. O computador orquestrador no membro do
cluster que atualizado durante o procedimento. No computador orquestrador, o administrador
dispara atualizao sob demanda usando um perfil de Execuo da Atualizao padro ou
personalizado. O modo de atualizao remota til para monitorar o andamento em tempo
real da Execuo da Atualizao e para clusters que esto em execuo em instalaes Server
Core do Windows Server 2012.
Modo de autoatualizao. Nesse modo, a funo clusterizada CAU configurada como carga de
trabalho no cluster de failover que deve ser atualizado, e uma agenda de atualizao associada
definida. Nesse cenrio, a CAU no tem um computador orquestrador dedicado. O cluster se atualiza
nos perodos agendados usando um perfil de Execuo da Atualizao padro ou personalizado.
Durante a Execuo da Atualizao, o processo orquestrador da CAU inicia no n que atualmente
possui a funo clusterizada CAU, e o processo executa atualizaes em sequncia em cada n de
cluster. No modo de autoatualizao, a CAU pode atualizar o cluster de failover usando um processo
de atualizao completamente automatizado de ponta a ponta. Um administrador tambm pode
disparar atualizaes sob demanda nesse modo ou usar a abordagem de atualizao remota, se
desejado. No modo de autoatualizao, o administrador pode acessar informaes resumidas uma
Execuo da Atualizao em andamento conectando ao cluster e executando o cmdlet Get-CauRun
do Windows PowerShell.
Para usar a CAU, voc deve instalar o recurso de cluster de failover no Windows Server 2012 e criar
um cluster de failover. Os componentes que oferecem suporte funcionalidade CAU so instalados
automaticamente em cada n de cluster.
Voc tambm deve instalar as ferramentas CAU, que so includas nas ferramentas do cluster de failover
(que tambm fazem parte do RSAT (Ferramentas de Administrao de Servidor Remoto)). As ferramentas
CAU consistem na interface de usurio da CAU e nos cmdlets de CAU do Windows PowerShell.
As ferramentas do cluster de failover so instaladas por padro em cada n de cluster quando
voc instala o recurso de cluster de failover. Voc tambm pode instalar essas ferramentas em
um computador local ou remoto que esteja executando o Windows Server 2012 ou o Windows 8,
e que tenha conectividade de rede com o cluster de failover.
10-34
Demonstrao: Configurao da CAU

Nesta demonstrao, voc ver como configurar a CAU.
Configurar a CAU
1.
Adicione o recurso de Clustering de Failover a LON-DC1.
2.
Execute Atualizao com Suporte a Cluster em LON-DC1 e configure-a para conectar

ao CLUSTER1.
3.
Visualize as atualizaes que esto disponveis para os ns LON-SVR3 e LON-SVR4.
4.
Revise as opes disponveis para o perfil de Execuo da Atualizao.
5.
Aplique as atualizaes disponveis ao CLUSTER1 a partir de LON-DC1.
6.
Depois aplicar as atualizaes, configure Adicionar Funo Clusterizada CAU com

Autoatualizao Habilitada em LON-SVR3.
10-35
Lio 5
Implementao de um cluster de failover multissite

Em alguns cenrios, voc pode ter de implantar ns de cluster em locais diferentes. Normalmente,
voc faz isso ao criar solues de recuperao de desastres. Nesta lio, voc aprender sobre clusters
de failover multissite e os pr-requisitos para implement-los. Voc tambm aprender sobre a replicao
sncrona e assncrona e o processo de escolha do modo de quorum para clusters multissite.
Objetivos da lio
Descrever um cluster de failover multissite.
Descrever os pr-requisitos da implementao de um cluster de failover multissite.
Descrever a replicao sncrona e assncrona.
Explicar como escolher um modo de quorum para clusters multissite.
Descrever o processo de implantao de clusters multissite.
Descrever os desafios para implementar clusters multissite.
O que um cluster de failover multissite?

Um cluster de failover multissite um cluster
que foi estendido de forma que ns diferentes
do mesmo cluster residam em locais fsicos
separados. Um cluster de failover multissite,
portanto, fornece servios altamente disponveis
em mais de um local. Os clusters de failover
multissite podem resolver vrios problemas
especficos, mas tambm apresentam desafios
especficos.
Em um cluster de failover multissite,
cada local tem normalmente um sistema
de armazenamento separado com replicao
entre os locais. A replicao do armazenamento do cluster multissite permite que cada local seja
independente e fornece acesso rpido ao disco local. Com sistemas de armazenamento separados,
voc no pode compartilhar um nico disco entre locais.
Um cluster de failover multissite tem trs vantagens principais em um local de failover, em comparao
a um servidor remoto:
Quando um local falha, um cluster multissite faz automaticamente o failover do servio ou aplicativo
clusterizado em outro local.
Como a configurao do cluster replicada automaticamente em cada n de cluster em um cluster

multissite, h menos sobrecarga administrativa do que um servidor em espera passiva, o que exige
que voc replique as alteraes manualmente.
Os processos automatizados em um cluster multissite reduzem a possibilidade de erro humano,

presente em processos manuais.
10-36
Devido ao aumento de custo e complexidade de um cluster de failover multissite, ele pode no ser uma
soluo ideal para todo aplicativo ou negcio. Quando voc estiver considerando se deve implantar ou
no um cluster multissite, avalie a importncia dos aplicativos para o negcio, o tipo dos aplicativos e
das solues alternativas. Alguns aplicativos podem proporcionar redundncia multissite facilmente
com o envio de logs ou outros processos, e ainda podem obter disponibilidade suficiente com apenas
um aumento modesto de custo e complexidade. Exemplos disso so o envio de logs do SQL Server,
a replicao contnua do Exchange Server e a replicao DFS.
A complexidade de um cluster multissite requer mais arquitetura e planejamento de hardware. Tambm
exige que voc desenvolva processos de negcios para testar a funcionalidade do cluster habitualmente.
Pr-requisitos da implementao de um cluster de failover multissite

Os pr-requisitos da implementao de
um cluster multissite so diferentes dos da
implementao de um cluster de um nico local.
importante entender o que voc deve preparar
antes de iniciar a implementao do cluster
multissite.
Antes de implementar um cluster de failover
multissite, voc deve assegurar o seguinte:
Voc deve ter ns e votos suficientes

em cada local para que os cluster possa
permanecer online mesmo se um local
estiver inativo. Essa configurao requer
hardware adicional e pode acarretar despesas financeiras significantes.
Todos os ns devem ter a mesma verso de sistema operacional e service pack.
Voc deve fornecer ao menos uma conexo de rede confivel de baixa latncia entre os locais.
Isso importante para pulsaes de cluster. Por padro, independentemente da configurao
de sub-rede, a frequncia de pulsao (tambm conhecida como atraso de sub-rede) uma
vez por segundo (1.000 milissegundos). O intervalo da frequncia de pulsao uma vez a cada
250-2000 milissegundos em uma sub-rede comum e 250-4.000 milissegundos entre sub-redes.
Por padro, quando um n perde uma srie de 5 pulsaes, outro n inicia o failover. O intervalo
desse valor (tambm conhecido como limite de sub-rede) de 3 a 10 pulsaes.
Voc deve fornecer um mecanismo de replicao de armazenamento. O cluster de failover no

fornece nenhum mecanismo de replicao de armazenamento. Portanto, voc deve fornecer
outra soluo. Isso tambm requer que voc tenha vrias solues de armazenamento, uma
para cada cluster que voc cria.
Voc deve garantir que todos os outros servios necessrios para o cluster, como AD DS e DNS,
tambm estejam disponveis em um segundo local.
Voc deve garantir que as conexes de cliente possam ser redirecionadas para um novo n
de cluster quando o failover acontecer.
10-37
Replicao sncrona e assncrona

Os clusters de failover geograficamente dispersos
no podem usar armazenamento compartilhado
entre locais fsicos. Links de rede WAN so muito
lentos e tm muita latncia para suportar o
armazenamento compartilhado. Isso significa
que voc deve ter instncias de dados separadas.
Para ter cpias exatas de dados em ambos os
lados, os clusters de failover geograficamente
dispersos devem sincronizar dados entre locais
usando hardware especializado. A replicao de
dados multissite pode ser sncrona ou assncrona:
Quando voc usa a replicao sncrona, o host

recebe uma resposta de gravao concluda do armazenamento primrio depois que os dados
so gravados com xito em ambos os sistemas de armazenamento. Se os dados no forem gravados
com xito em ambos os sistemas de armazenamento, o aplicativo dever tentar gravar novamente
em disco. Com a replicao sncrona, ambos os sistemas de armazenamento so idnticos.
Quando voc usa a replicao assncrona, o n recebe uma resposta de gravao concluda
do armazenamento depois que os dados so gravados com xito no armazenamento primrio.
Os dados so gravados no armazenamento secundrio em uma programao diferente, dependendo
da implementao do fornecedor de hardware ou software. A replicao assncrona pode ser
baseada em armazenamento, baseada em host ou at mesmo baseada em aplicativo. No entanto,
nem todas as formas de replicao assncrona so suficientes para um cluster multissite. Por exemplo,
a Replicao DFS fornece replicao assncrona no nvel de arquivo. No entanto, ela no oferece
suporte replicao de cluster de failover multissite. Isso porque a Replicao DFS replica
documentos menores que no so mantidos abertos continuamente e no foi criada para
replicao de arquivo aberto de alta velocidade.
Quando usar a replicao sncrona ou assncrona

Use a replicao sncrona quando a perda de dados no for aceitvel. As solues de replicao sncrona
requerem baixa latncia de gravao em disco, pois o aplicativo aguarda at que ambas as solues de
armazenamento reconheam as gravaes de dados. O requisito de gravaes em disco de baixa latncia
tambm limita a distncia entre os sistemas de armazenamento, pois o aumento da distncia pode causar
maior latncia. Se a latncia de disco for alta, o desempenho e at mesmo a estabilidade do aplicativo
podem ser afetados.
A replicao assncrona supera as limitaes de latncia e distncia reconhecendo apenas gravaes
em disco local, e reproduzindo a gravao em disco no sistema de armazenamento remoto em uma
transao separada. Como a replicao assncrona grava no sistema de armazenamento remoto depois
de gravar no sistema de armazenamento local, a possibilidade de perda de dados durante uma falha
aumenta.
10-38
Seleo de um modo de quorum para clusters multissite

Cada cluster de failover deve ter modo de quorum
definido de forma que um voto de maioria possa
ser determinado facilmente a qualquer momento.
Para um cluster geograficamente disperso, voc
no pode usar configuraes de quorum que
exijam um disco compartilhado, pois clusters
geograficamente dispersos no usam discos
compartilhados. Os modos de quorum Maioria
dos Ns e Discos e Sem Maioria: Somente Disco
exigem um disco testemunha compartilhado para
fornecer um voto para determinar o quorum.
Voc deve usar apenas estes dois modos de
quorum se o fornecedor de hardware especificamente recomend-los e suport-los.
Para usar os modos Maioria dos Ns e Discos e Sem Maioria: Somente Disco em um cluster multissite,
o disco compartilhado requer que:
Voc preserva a semntica dos comandos SCSI entre os locais, at mesmo se ocorrer uma falha
de comunicao completa entre os locais.
Voc replica o disco testemunha no modo sncrono em tempo real por todos os locais.
Como os clusters multissite podem ter falhas de rede WAN alm das falhas de rede local e de n,
Maioria dos Ns e Maioria dos Ns e Compartilhamentos de Arquivos so as melhores solues para
clusters multissite. Se houver uma falha de rede WAN que cause a perda de comunicao entre locais
primrios e secundrios, a maioria ainda dever estar disponvel para continuar as operaes.
Se houver um nmero mpar de ns, use o quorum Maioria dos Ns. Se houver um nmero par de ns,
o que normal em um cluster geograficamente disperso, voc poder usar o quorum Maioria dos Ns
com Compartilhamento de Arquivo.
Se estiver usando Maioria dos Ns e os locais perderem a comunicao, voc precisar de um mecanismo
para determinar quais ns permanecero no cluster e quais ns sairo do cluster. O segundo local requer
outro voto para obter quorum aps uma falha. Para obter outro voto para quorum, voc deve unir outro
n ao cluster ou criar uma testemunha de compartilhamento de arquivos.
O modo Maioria dos Ns e Compartilhamentos de Arquivos pode ajudar a manter o quorum sem
adicionar outro n ao cluster. Para fornecer um nico ponto de falha e habilitar o failover automtico,
talvez seja necessrio ter a testemunha de compartilhamento de arquivos em um terceiro local. Em um
cluster multissite, um nico servidor pode hospedar a testemunha de compartilhamento de arquivos.
No entanto, voc deve criar um compartilhamento de arquivos separado para cada cluster.
10-39
Voc deve usar trs locais para habilitar o failover automtico de um servio ou aplicativo altamente
disponvel. Localize um n no local primrio que executa o servio ou aplicativo altamente disponvel.
Localize um segundo n em um local de recuperao de desastres e localize o terceiro n para a
testemunha de compartilhamento de arquivos em um local diferente.
Deve haver conectividade de rede direta entre os trs locais. Dessa maneira, se um local no estiver
disponvel, os dois locais restantes ainda podero se comunicar e ter ns suficientes para um quorum.
Observao: No Windows Server 2008 R2, administradores podem configurar o quorum
para incluir ns. No entanto, se a configurao do quorum incluir ns, todos os ns foram
tratados igualmente de acordo com seus votos. No Windows Server 2012, voc pode ajustar as
configuraes de quorum do cluster de forma que, quando o cluster determinar se tem quorum,
alguns ns tenham um voto e outros no. Esse ajuste pode ser til quando voc implementar
solues em vrios locais.
Processo de configurao de um cluster de failover multissite

A configurao de um cluster multissite um
pouco diferente da configurao de um nico
local. Os clusters multissite so mais complexos
de configurar e manter e requerem mais esforo
administrativo de suporte. As etapas de alto
nvel para configurar um cluster multissite so:
1.
Certifique-se de que voc tenha ns de

cluster suficientes em cada local. Alm disso,
certifique-se de que os ns de cluster tenham
configuraes de hardware semelhantes
e a mesma verso de sistema operacional
e service pack.
2.
Certifique-se de que a rede entre os locais esteja funcionando e que a latncia de rede seja aceitvel
para configurar o cluster. (Voc pode validar isso usando o Assistente para Validar Configurao
no Gerenciador de Cluster de Failover.)
3.
Certifique-se de que voc implantou um mecanismo de replicao de armazenamento confivel

entre os locais. Alm disso, escolha o tipo de replicao para uso.
4.
Certifique-se de que os servios de infraestrutura de chave, como AD DS, DNS e DHCP, estejam
presentes em cada local.
5.
Execute o Assistente para Validar uma Configurao em todos os ns de cluster para determinar
se sua configurao aceitvel para criar um cluster.
6.
Determine a funo que voc configurar em um cluster.
7.
Determine o modo de quorum de cluster que voc usar.
10-40
8.
Crie uma funo clusterizada.
9.
Defina as configuraes de failover/failback.
10. Valide o failover e o failback.

Voc deve estar ciente de que clusters multissite exigem mais esforo administrativo durante failover
e failback. Embora o failover/failback de cluster de um nico local seja em grande parte automtico,
o mesmo no vale para clusters multissite.
Desafios da implementao de um cluster de failover multissite

Implementar clusters multissite mais
complexo do que implementar clusters
de um nico local e pode apresentar vrios
desafios para o administrador. Problemas de
armazenamento e rede so os aspectos mais
desafiadores da implementao de clusters
multissite.
Em um cluster multissite, os ns de cluster
no usam armazenamento compartilhado.
Isso significa que os ns de cada local devem
ter sua prpria instncia de armazenamento.
Alm disso, o cluster de failover no inclui
funcionalidade interna para replicar dados entre locais. Por isso, voc deve implementar um mecanismo
de replicao de armazenamento separado e a opo para replicar dados. Voc pode escolher entre
trs opes para replicar dados: replicao baseada em hardware em nvel de bloco, replicao de
arquivo baseada em software instalada no host ou replicao baseada em aplicativo. Dependendo
do cenrio especfico e dos dados em armazenamento, voc pode escolher a opo apropriada.
A replicao de dados multissite pode ser sncrona ou assncrona. A replicao sncrona no reconhece
alteraes de dados feitas, por exemplo, no Local A at que os dados sejam gravados com xito
no Local B. Com a replicao assncrona, as alteraes de dados feitas no Local A so gravadas
consequentemente no Local B.
Quando voc implantar um cluster multissite e executar o Assistente para Validar uma Configurao,
os testes de disco no localizaro nenhum armazenamento compartilhado e, portanto, no sero
executados. No entanto, voc ainda pode criar um cluster de failover. Se voc seguir as recomendaes
do fabricante de hardware para o hardware do cluster de failover do Windows Server, a Microsoft
oferecer suporte soluo.
O Windows Server 2012 permite que ns de cluster existam em diferentes sub-redes IP, o que permite
que um aplicativo ou servio clusterizado altere seu endereo IP com base nessa sub-rede IP. O DNS
atualiza o registro DNS do aplicativo clusterizado de forma que os clientes possam localizar a alterao
de endereo IP. Como os clientes recorrem ao DNS para localizar um servio ou aplicativo aps um
failover, talvez seja necessrio ajustar a configurao de Vida til dos registros DNS e a velocidade com
que os dados DNS so replicados. Alm disso, quando ns de cluster esto em vrios locais, a latncia de
rede pode exigir a modificao dos limites de atraso de comunicao (pulsao) entre ns e tempo limite.
10-41

Cenrio
Conforme os negcios da A. Datum Corporation se expandem, cada vez mais importante que muitos
dos aplicativos e servios da rede estejam disponveis o tempo todo. A A. Datum tem muitos servios
e aplicativos que precisam estar disponveis para seus usurios internos e externos que trabalham
em fusos horrios diferentes ao redor do mundo. Como muitos desses aplicativos no podem ser
transformados em altamente disponveis usando NBL (Balanceamento de Carga de Rede), voc
precisar usar uma tecnologia diferente.
Como um dos administradores de rede seniores da A. Datum Corporation, voc responsvel por
implementar o cluster de failover nos servidores Windows Server 2012, para fornecer alta disponibilidade
para servios e aplicativos de rede. Voc ser responsvel por planejar a configurao do cluster
de failover e implantar aplicativos e servios no cluster de failover.
Objetivos
Configurar um cluster de failover com armazenamento de CSV.
Implantar e configurar um servidor de arquivos altamente disponvel no cluster de failover.
Validar a alta disponibilidade do cluster de failover e do armazenamento.
Configurar a CAU no cluster de failover.
Mquinas virtuais
24412B-LON-DC1
24412B-LON-SVR1
24412B-LON-SVR3
24412B-LON-SVR4
MSL-TMG1
Nome de Usurio
Senha
Pa$$w0rd
1.

2.
3.
4.

o
Senha: Pa$$w0rd
5.
Repita as etapas de 2 a 4 para 24412B-LON-SVR1, 24412B-LON-SVR3 e 24412B-LON-SVR4.
6.
Para MSL-TMG1, repita somente a etapa 2.
10-42
Exerccio 1: Configurao de um cluster de failover

Cenrio
A A. Datum Corporation tem alguns aplicativos e servios crticos que deseja torn-los altamente
disponveis. Alguns desses servios no podem usar NLB. Portanto, voc decidiu implementar o cluster
de failover com o uso de armazenamento iSCSI, que j est implantado. Para iniciar esse processo, voc
precisa implementar os componentes principais do cluster de failover, validar o cluster e criar o cluster
de failover.
1.
Conectar ns do cluster aos destinos iSCSI (Internet Small Computer System Interface) .
2.
Instalar o recurso de cluster de failover.
3.
Validar os servidores para cluster de failover.
4.
Criar o cluster de failover.
5.
Configurar CSVs (Volumes Compartilhados do Cluster) .
Tarefa 1: Conectar ns do cluster aos destinos iSCSI

(Internet Small Computer System Interface)
1.
Em LON-SVR3, inicie o Iniciador iSCSIe configure Descobrir Portal com o endereo IP 172.16.0.21.
2.
Conecte ao destino descoberto na lista Destinos.
3.
Repita as etapas 1 e 2 em LON-SVR4.
4.
Abra Gerenciamento de disco em LON-SVR3.
5.
Coloque online e inicialize os trs discos novos.
6.
Crie um volume simples em cada disco e formate-o com NTFS.
7.
Em LON-SVR4, abra Gerenciamento de disco, atualize o console e coloque online os trs

discos novos.
Tarefa 2: Instalar o recurso de cluster de failover

1.
Em LON-SVR3, instale o recurso Clustering de Failover usando o Gerenciamento do Servidor.
2.
Em LON-SVR4, instale o recurso Clustering de Failover usando o Gerenciamento do Servidor.
Tarefa 3: Validar os servidores para cluster de failover

1.
Em LON-SVR3, abra o console do Gerenciador de Cluster de Failover.
2.
Inicie o Assistente para Validar Configurao.
3.
Use LON-SVR3 e LON-SVR4 como ns para teste.
4.
Revise o relatrio e feche-o.
5.
Na pgina Resumo, desmarque a caixa de seleo ao lado de Criar o cluster agora usando
os ns validados e clique em Concluir.
10-43
Tarefa 4: Criar o cluster de failover

1.
Em LON-SVR3, no Gerenciador de Cluster de Failover, inicie o Assistente para Criao de Clusters.
2.
Use LON-SVR3 e LON-SVR4 como ns de cluster.
3.
Especifique Cluster1 como o Nome do Ponto de Acesso do Cluster.
4.
Especifique o Endereo IP como 172.16.0.125.
Tarefa 5: Configurar CSVs (Volumes Compartilhados do Cluster)

1.
Em LON-SVR3, no console do Gerenciador de Cluster de Failover, navegue at Armazenamento ->

Discos.
2.
Localize o disco atribudo a Armazenamento Disponvel. (Se possvel, use Disco de Cluster 2).
3.
Adicione-o a Volumes Compartilhados do Cluster.
Resultados: Depois de concluir este exerccio, voc ter instalado e configurado o recurso de cluster
de failover.
Exerccio 2: Implantao e configurao de um servidor de arquivos

altamente disponvel
Cenrio
Na A. Datum Corporation, Servios de Arquivo um dos servios importantes que deve estar altamente
disponvel, pois hospeda dados importantes que so usados o tempo todo. Depois de criar uma
infraestrutura de cluster, voc decide configurar um servidor de arquivos altamente disponvel
e implementa configuraes para failover e failback.
1.
Adicionar o aplicativo Servidor de Arquivos ao cluster de failover.
2.
Adicionar uma pasta compartilhada a um servidor de arquivos altamente disponvel.
3.
Definir as configuraes de failover e failback.
4.
Validar as configuraes de quorum do cluster.
Tarefa 1: Adicionar o aplicativo Servidor de Arquivos ao cluster de failover

1.
Adicione o servio de funo Servidor de Arquivos a LON-SVR3 e a LON-SVR4.
2.
Em LON-SVR3, abra o console do Gerenciador de Cluster de Failover.
3.
Adicione Servidor de Arquivos como funo de cluster.
4.
Escolha implementar Expandir Servidor de Arquivos para dados de aplicativos (segunda opo).
5.
Especifique AdatumFS como Nome de Acesso do Cliente.
10-44
Tarefa 2: Adicionar uma pasta compartilhada a um servidor de arquivos altamente

disponvel
1.
Em LON-SVR3, no Gerenciador de Cluster de Failover, inicie o Assistente de Novo

Compartilhamento para adicionar uma nova pasta compartilhada funo de cluster AdatumFS.
Observao: Se voc obtiver uma mensagem de erro dizendo que o cluster ainda no est
disponvel, aguarde um minuto e reinicie o Gerenciador de Cluster de Failover em outro n.
2.
Especifique o perfil para o compartilhamento como Compartilhamento SMB Rpido.
3.
Nomeie a pasta compartilhada como Dados.
4.
Habilite disponibilidade contnua.
Tarefa 3: Definir as configuraes de failover e failback

1.
Em LON-SVR3, no Gerenciador de Cluster de Failover, abra Propriedades para a funo

de cluster AdatumFS.
2.
Habilite o failback entre 4 e 5 horas.
3.
Selecione LON-SVR3 e LON-SVR4 como os proprietrios preferenciais.
4.
Mova LON-SVR4 para ser o primeiro da lista Proprietrios Preferenciais.
Tarefa 4: Validar as configuraes de quorum do cluster
No console Gerenciador de Cluster de Failover, revise as configuraes em Configurao

de Quorum. A configurao deve ser Maioria dos Ns e Discos.
Resultados: Depois de concluir este exerccio, voc ter implantado e configurado um servidor
de arquivos altamente disponvel.
Exerccio 3: Validao da implantao do servidor de arquivos altamente

disponvel
Cenrio
No processo de implementao de um cluster de failover, voc quer executar testes de failover e failback
para verificar se o cluster est funcionando corretamente.
1.
Validar a implantao do servidor de arquivos altamente disponvel.
2.
Validar a configurao de failover e quorum para a funo de servidor de arquivos.
Tarefa 1: Validar a implantao do servidor de arquivos altamente disponvel

1.
Em LON-DC1, abra o Explorador de Arquivos e tente acessar o local \\AdatumFS\. Confirme

se voc pode acessar a pasta Dados.
2.
Crie um documento de texto de teste dentro dessa pasta.
3.
Em LON-SVR3, no Gerenciador de Cluster de Failover, mova AdatumFS para o segundo n.
4.
Em LON-DC1, no Explorador de Arquivos, verifique se voc ainda pode acessar \\AdatumFS\.
10-45
Tarefa 2: Validar a configurao de failover e quorum para a funo de servidor

de arquivos
1.
Em LON-SVR3, determine o proprietrio atual para a funo AdatumFS.
2.
Interrompa o servio Cluster no n que o proprietrio atual da funo AdatumFS.
3.
Verifique se AdatumFS foi movido para outro n e se o local \\AdatumFS\ ainda est disponvel
no computador LON-DC1.
4.
Inicie o servio Cluster no n em que voc o interrompeu na etapa 2.
5.
No n Discos, deixe a testemunha de disco offline.
6.
Verifique se o local \\AdatumFS\ ainda est disponvel em LON-DC1.
7.
Retorne a testemunha de disco para o estado online.
Resultados: Depois de concluir este exerccio, voc ter testado cenrios de failover e failback.
Exerccio 4: Configurao da atualizao com suporte a cluster no cluster

de failover
Cenrio
Anteriormente, implementar atualizaes em servidores com servio crtico causava um tempo
de inatividade indesejvel. Para habilitar a atualizao de cluster simplificada e com zero tempo
de inatividade, voc deseja implementar a CAU e testar atualizaes para ns de cluster.
1.
Configurar a atualizao com suporte a cluster (CAU) .
2.
Atualizar o cluster de failover e configurar a autoatualizao.
Tarefa 1: Configurar a atualizao com suporte a cluster (CAU)

1.
Em LON-DC1, instale o recurso Cluster de Failover.
2.
No Gerenciador do Servidor, abra Atualizao com Suporte a Cluster.
3.
Conecte a CLUSTER1.
4.
Visualize as atualizaes disponveis para ns em CLUSTER1.
Observao: Uma conexo com a Internet necessria para esta etapa ser concluda
com xito. Certifique-se de que o servidor MSL-TMG1 esteja em execuo e de que voc
possa acessar a Internet em LON-DC1.
Observao: Em um ambiente de produo, ns no recomendamos implantar
ferramentas CAU em um controlador de domnio. Isso serve apenas para fins de laboratrio.
10-46
Tarefa 2: Atualizar o cluster de failover e configurar a autoatualizao

1.
Em LON-DC1, inicie o processo de atualizao para CLUSTER1.
2.
Aps a concluso do processo, entre em LON-SVR3 com o nome de usurio

Adatum\Administrador e a senha Pa$$w0rd.
3.
Em LON-SVR3, abra CAU e configure a autoatualizao para Cluster1 para ser executada
semanalmente, aos domingos s 4:00AM.
Resultados: Depois de concluir este exerccio, voc ter configurado a CAU no cluster de failover.

1.
2.

3.
4.
Repita as etapas 2 e 3 para 24412B-LON-SVR1, 24412B-LON-SVR3, 24412B-LON-SVR4

e MSL-TMG1.

Perguntas de reviso
Pergunta: Por que usar uma configurao de quorum Sem Maioria: Somente Disco
geralmente no uma boa ideia?
Pergunta: Qual a finalidade da CAU?
Pergunta: Qual a principal diferena entre replicao sncrona e assncrona em um
cenrio de cluster multissite?
Pergunta: O que o recurso aprimorado de cluster multissite no Windows Server 2012?

Pergunta: Sua organizao est considerando o uso de um cluster geograficamente
disperso que inclua um datacenter alternativo. Sua organizao tem apenas um local
fsico aliado a um datacenter alternativo. Voc pode fornecer um failover automtico
nessa configurao?
Ferramentas
As ferramentas para implementao do cluster de failover incluem:
Console do Gerenciador de Cluster de Failover
Console Atualizao com Suporte a Cluster
Windows PowerShell
Iniciador iSCSI
Gerenciamento de Disco
10-47
11-1
Mdulo 11
Implementao do cluster de failover com o Hyper-V
Contedo:
Viso geral do mdulo
11-1
Lio 1: Viso geral da integrao do Hyper-V com o cluster de failover
11-2
Lio 2: Implementao de mquinas virtuais do Hyper-V em clusters

de failover
11-9
Lio 3: Implementao da movimentao de mquinas virtuais do Hyper-V
11-19
Lio 4: Gerenciamento de ambientes virtuais do Hyper-V usando o VMM
11-26
Laboratrio: Implementao do cluster de failover com o Hyper-V
11-38
11-43
Viso geral do mdulo

A virtualizao do servidor oferece os benefcios da alta disponibilidade, para aplicativos ou servios
que possuem a funcionalidade interna de alta disponibilidade, e para aplicativos ou servios que no
oferecem alta disponibilidade de forma alguma. Com o Windows Server 2012 Hyper-V, o cluster de
failover e o Microsoft System Center 2012 - Virtual Machine Manager (VMM), voc pode configurar
a alta disponibilidade usando vrias opes diferentes.
Neste mdulo, voc aprender a implementar o cluster de failover em um cenrio do Hyper-V
para obter alta disponibilidade em um ambiente virtual. Voc tambm obter informaes
sobre os recursos bsicos da mquina virtual.
Objetivos
Descrever a integrao do Hyper-V com o cluster de failover.
Implementar mquinas virtuais do Hyper-V em clusters de failover.
Implementar a movimentao da mquina virtual do Hyper-V.
Gerenciar um ambiente virtual do Hyper-V usando o VMM.
11-2 Implementao do cluster de failover com o Hyper-V
Lio 1
Viso geral da integrao do Hyper-V com o cluster

de failover
O cluster de failover um recurso do Windows Server 2012 que permite tornar aplicativos ou servios
altamente disponveis. Para tornar mquinas virtuais altamente disponveis em um ambiente do Hyper-V,
voc deve implementar o cluster de failover nos computadores host do Hyper-V.
Esta lio fornece um resumo das opes de alta disponibilidade das mquinas virtuais baseadas no
Hyper-V e enfatiza o modo como o cluster de failover funciona, e como criar e implementar o cluster
de failover para o Hyper-V.
Objetivos da lio
Descrever as opes que tornaro as mquinas virtuais altamente disponveis.
Explicar como funciona o cluster de failover com ns do Hyper-V.
Descrever os novos recursos de cluster de failover para o Hyper-V no Windows Server 2012.
Descrever as prticas recomendadas para a implementao da alta disponibilidade

em um ambiente virtual.
Opes para tornar as mquinas virtuais altamente disponveis

A maioria das organizaes possui alguns
aplicativos que so crticos para os negcios
e que devem ser altamente disponveis. Para
tornar um aplicativo altamente disponvel, voc
deve implant-lo em um ambiente que fornea
redundncia para todos os componentes exigidos
pelo aplicativo. Para que as mquinas virtuais
sejam altamente disponveis, voc pode escolher
entre vrias opes:
Clustering de host, no qual voc implementa

hosts de virtualizao como uma funo
clusterizada
Clustering de convidado, no qual voc implementa o clustering em mquinas virtuais
Balanceamento de carga de rede em mquinas virtuais
11-3
Clustering de host
O clustering de host permite configurar um cluster de failover usando os servidores host do Hyper-V.
Quando voc configurar o clustering de host para o Hyper-V, configure a mquina virtual como um
recurso altamente disponvel. A proteo de failover implementada no nvel do servidor host. Isso
significa que o sistema operacional convidado e os aplicativos em execuo na mquina virtual no
precisam oferecer suporte a cluster. No entanto, a mquina virtual ainda est altamente disponvel.
Alguns exemplos de aplicativos que no oferecem suporte a cluster so servidores de impresso
ou aplicativos baseados em rede patenteada, como um aplicativo de contabilidade. Se o n de
host que controla a mquina virtual ficar indisponvel inesperadamente, o n de host secundrio
assumir controle e reiniciar a mquina virtual o mais rpido possvel.
Voc tambm pode mover a mquina virtual de um n do cluster para outro de maneira controlada. Por
exemplo, voc poderia mover a mquina virtual de um n para outro enquanto aplica o patch ao sistema
operacional host. Os aplicativos ou servios em execuo na mquina virtual no precisam ser compatveis
com o cluster de failover nem estar cientes de que a mquina virtual est clusterizada. Como o failover
est no nvel da mquina virtual, no h nenhuma dependncia no software instalado na mquina virtual.
Cluster de Failover convidado

O cluster de failover convidado configurado quase da mesma maneira que o cluster de failover
de servidor fsico; a nica diferena que os ns de cluster so vrias mquinas virtuais. Nesse cenrio,
voc cria duas ou mais mquinas virtuais e habilita o cluster de failover no sistema operacional convidado.
O aplicativo ou servio habilitado para alta disponibilidade entre as mquinas virtuais usando o cluster
de failover em cada mquina virtual. Como voc implementa o cluster de failover no sistema operacional
convidado de cada n de mquina virtual, pode localizar as mquinas virtuais em um nico host.
Essa pode ser uma configurao rpida e econmica em um ambiente de teste ou de preparo.
Em ambientes de produo, no entanto, voc poder proteger o aplicativo ou servio mais robustamente
se implantar as mquinas virtuais em computadores host do Hyper-V habilitados para cluster de failover
separado. Com o cluster de failover implementado nos nveis de host e de mquina virtual, voc pode
reiniciar o recurso independentemente de o n com falha ser uma mquina virtual ou um host. Essa
configurao tambm conhecida como um Cluster Convidado Por Hosts. Ela considerada uma
configurao de alta disponibilidade ideal para mquinas virtuais que esto executando aplicativos
crticos em um ambiente de produo.
Voc deve considerar vrios fatores ao implementar o clustering convidado:
O aplicativo ou servio deve oferecer suporte a cluster de failover. Isso inclui qualquer
servio do Windows Server 2012 que oferea suporte a cluster e qualquer aplicativo,
como o Microsoft SQL Server e Microsoft Exchange Server clusterizado.
As mquinas virtuais do Hyper-V podem usar conexes baseadas em Fiber Channel com o
armazenamento compartilhado (isso especfico somente do Microsoft Hyper-V Server 2012)
ou voc pode implementar conexes iSCSI (Internet Small Computer System Interface)
das mquinas virtuais para o armazenamento compartilhado.
Voc deve implantar vrios adaptadores de rede nos computadores host e nas mquinas virtuais.
O ideal que, ao usar uma conexo iSCSI, voc dedique uma conexo de rede conexo iSCSI,
rede privada entre os hosts e conexo de rede usada pelos computadores cliente.
Balanceamento de Carga de Rede

O Balanceamento de Carga de Rede (NLB) funciona nas mquinas virtuais do mesmo modo que nos
hosts fsicos. Ele distribui o trfego IP para vrias instncias de um servio TCP/IP, como um servidor
Web em execuo em um host do cluster NLB. O NLB distribui as solicitaes do cliente entre os hosts
de forma transparente e permite que os clientes acessem o cluster usando um nome de host virtual ou
um endereo IP virtual. Do ponto de vista do computador cliente, o cluster parece ser um servidor nico
que responde a essas solicitaes do cliente. medida que o trfego da empresa aumenta, voc pode
adicionar outro servidor ao cluster.
Portanto, o NLB uma soluo apropriada para recursos que no precisam acomodar leitura exclusiva
ou solicitaes de gravao. Exemplos de aplicativos apropriados para NLB so os front-ends baseados
na Web para aplicativos de banco de dados ou servidores de acesso do cliente do Exchange Server.
Quando voc configurar um cluster NLB, dever instalar e configurar o aplicativo em todas as mquinas
virtuais. Depois que voc configurar o aplicativo, instale o recurso NLB do Windows Server 2012 no
sistema operacional convidado de cada mquina virtual (e no nos hosts Hyper-V) e configure um
cluster NLB para o aplicativo. As verses anteriores do Windows Server tambm oferecem suporte ao NLB,
o que significa que o sistema operacional convidado no se limita apenas ao Windows Server 2012.
Semelhante a um Cluster de Convidado Por Host, o recurso NLB geralmente tira proveito do melhor
desempenho geral de entrada/sada (E/S) quando os ns de mquina virtual esto localizados em
hosts Hyper-V diferentes.
Observao: Assim como nas verses anteriores do Windows Server, voc no
deve implementar o NLB e o cluster de failover no mesmo sistema operacional convidado,
pois as duas tecnologias esto em conflito entre si.
Como funciona um cluster de failover com ns do Hyper-V?

Quando voc implementa o cluster de failover
e configura mquinas virtuais como recursos
altamente disponveis, o cluster de failover
trata as mquinas virtuais como qualquer outro
aplicativo ou servio. Ou seja, se um host falhar,
o cluster de failover agir para restaurar o acesso
mquina virtual o mais rpido possvel em
outro host dentro do cluster. Somente um n
por vez executa a mquina virtual. No entanto,
voc tambm pode mover a mquina virtual
para qualquer outro n dentro do mesmo cluster.
O processo de failover transfere
a responsabilidade de fornecer acesso aos recursos em um cluster de um n para outro. O failover
pode acontecer, por exemplo, quando um administrador move recursos para outro n para manuteno
ou outros motivos, ou quando um n apresenta um tempo de inatividade no planejado devido a uma
falha de hardware.
11-5
O processo de failover composto pelas seguintes etapas:

1.
O n em que a mquina virtual est sendo executada possui a instncia clusterizada da mquina
virtual, controla o acesso ao barramento compartilhado ou conexo iSCSI com o armazenamento
de cluster e tem a propriedade de todos os discos ou LUNs (nmeros de unidade lgica) atribudos
mquina virtual. Todos os ns do cluster usam uma rede privada para enviar sinais regulares,
conhecidos como sinais de pulsao, para o outro n. Os sinais de pulsao indica que um n est
funcionando e se comunicando com a rede. A configurao de pulsao padro especifica que cada
n envia uma pulsao sobre porta TCP/UDP 3343 a cada segundo (ou a cada 1.000 milissegundos).
2.
O failover iniciado quando o n que hospeda a mquina virtual no envia sinais de pulsao
regulares pela rede para os outros ns. Por padro, isso corresponde a cinco pulsaes
consecutivamente perdidas (ou 5.000 milissegundos). O failover pode ocorrer devido falha
em um n ou na rede.
3.
Quando os sinais de pulsao no so mais enviados pelo n com falha, um dos ns do cluster
comea a assumir o controle dos recursos utilizados pelas mquinas virtuais. Voc define os ns
que poderiam assumir o controle configurando as propriedades Proprietrios Preferenciais
e Possveis Proprietrios. O proprietrio preferencial especifica a hierarquia da propriedade,
se houver mais de um possvel n de failover para um recurso. Por padro, todos os ns
so possveis proprietrios. Portanto, a remoo de um n como um possvel proprietrio
o impossibilita de assumir o controle do recurso em uma situao de falha.
Por exemplo, suponhamos que voc implemente um cluster de failover usando trs ns. Porm,
somente dois ns so configurados como proprietrios preferenciais. Durante um evento de failover,
o recurso ainda poder ser assumido pelo terceiro n se nenhum dos proprietrios preferenciais
estiverem online. Embora o terceiro n no esteja configurado como um proprietrio preferencial,
contanto que seja um possvel proprietrio, o cluster de failover poder usar isso se necessrio
para restaurar o acesso ao recurso.
Os recursos so colocados online em ordem de dependncia. Por exemplo, se a mquina virtual fizer
referncia a um LUN iSCSI, o acesso aos adaptadores de barramento do host (HBAs), s redes e aos
LUNs apropriados ser armazenado nessa ordem. O failover concludo quando todos os recursos
ficam online no novo n. Para clientes que interagem com o recurso, h uma breve interrupo
do servio, que a maioria dos usurios no perceber.
4.
Voc tambm pode configurar o servio de cluster para fazer failback no n offline depois
que ele for ativado novamente. Quando o servio de cluster fizer failback, ele usar os mesmos
procedimentos executados durante o failover. Isso significa que o servio de cluster coloca
todos os recursos associados a essa instncia offline, move a instncia e coloca todos os
recursos da instncia online novamente.
Quais so as novidades do cluster de failover no Hyper-V

do Windows Server 2012
No Windows Server 2012, o cluster de failover
apresenta uma grande melhoria com os clusters
do Hyper-V. Estas so algumas das melhorias
mais importantes:
Agora o cluster de failover oferece suporte

a at 4.000 mquinas virtuais, e o snap-in
Gerenciador de Cluster de Failover
aprimorado simplifica o gerenciamento
de muitas mquinas virtuais.
Os administradores agora podem executar

aes multisseleo para enfileirar migraes
ao vivo de vrias mquinas virtuais, em vez
migr-las uma de cada vez como nas verses anteriores.
Os administradores tambm podem configurar o atributo de prioridade de mquina virtual para

controlar a ordem em que as mquinas virtuais sero iniciadas. A prioridade tambm garante que
as mquinas virtuais de prioridade mais baixa liberaro automaticamente recursos para mquinas
virtuais de prioridade mais alta quando necessrio.
O recurso Volume Compartilhado Clusterizado (CSV), que simplifica a configurao e a operao

de mquinas virtuais, que, por sua vez, podem ajudar a melhorar a segurana e o desempenho.
Agora, o CSV oferece suporte ao armazenamento de aplicativos servidores baseados em
arquivos escalonveis, maior backup e restaurao, e namespace de arquivo consistente
exclusivo. Alm disso, voc pode proteger volumes CSV usando a Criptografia de Unidade
de Disco Windows BitLocker, e configurando os volumes CSV para fazer armazenamento
visvel apenas em um subconjunto de ns.
Monitoramento do aplicativo da mquina virtual. Agora, voc pode monitorar os servios que esto
em execuo nas mquinas virtuais clusterizadas. Nos clusters que executam o Windows Server 2012,
os administradores podem configurar o monitoramento dos servios nas mquinas virtuais
clusterizadas que tambm esto executando o Windows Server 2012. Essa funcionalidade
estende o monitoramento de alto nvel de mquinas virtuais implementado nos clusters
de failover do Windows Server 2008 R2.
Agora, voc pode armazenar mquinas virtuais em compartilhamentos de arquivos de bloco de

mensagem de servidor (SMB) em um cluster de servidores de arquivos. Esse um novo mtodo
para fornecer mquinas virtuais altamente disponveis. Em vez de configurar um cluster entre
os ns do Hyper-V, agora voc pode ter ns do Hyper-V fora do cluster, mas com arquivos
de mquina virtual em um compartilhamento de arquivos altamente disponvel. Para fazer isso,
voc deve implantar um cluster de servidores de arquivos em um modo de servidor de arquivos
escalvel. Os servidores de arquivos escalveis tambm podem usar o CSV para armazenamento.
11-7
Prticas recomendadas para a implementao da alta disponibilidade

em um ambiente virtual
Aps determinar quais aplicativos deseja
implantar nos clusters de failover altamente
disponveis, voc poder planejar e implantar
o ambiente de cluster de failover. Considere
as seguintes recomendaes ao implementar
o cluster de failover:
Use o Windows Server 2012 como host do

Hyper-V. O Windows Server 2012 fornece
vrios aprimoramentos, como Hyper-V, CSVs
aprimorados, migraes de mquina virtual e
outros recursos que melhoram a flexibilidade
e o desempenho durante a implementao
do cluster de failover do host.
Planeje cenrios de failover. Ao elaborar os requisitos de hardware dos hosts do Hyper-V, verifique
se incluiu a capacidade de hardware necessria quando os hosts apresentarem falha. Por exemplo,
se voc implantar um cluster de seis ns, dever determinar o nmero de falhas de host que deseja
acomodar. Se voc decidir que o cluster deve sustentar a falha de dois ns, os quatro ns restantes
devero ter capacidade para executar todas as mquinas virtuais do cluster.
Planeje o design de rede do cluster de failover. Para otimizar o desempenho do cluster de failover
e o failover, dedique uma conexo de rede rpida para a comunicao entre ns. Como acontece
com as verses anteriores, essa rede deve estar lgica e fisicamente separada dos segmentos
de rede usados pelos clientes para se comunicarem com o cluster. Voc tambm pode usar essa
conexo de rede para transferir a memria da mquina virtual durante uma migrao ao vivo.
Se voc estiver usando o iSCSI para qualquer mquina virtual, dedique tambm uma conexo
de rede conexo iSCSI.
Planeje o armazenamento compartilhado do cluster de failover. Ao implementar o cluster

de failover do Hyper-V, o armazenamento compartilhado deve estar altamente disponvel. Se
o armazenamento compartilhado apresentar falha, todas as mquinas virtuais falharo, mesmo
se os ns fsicos estiverem funcionando. Para assegurar a disponibilidade do armazenamento,
planeje conexes redundantes com o armazenamento compartilhado e a redundncia RAID
(redundant array of independent disks) no dispositivo de armazenamento.
Use o modo de quorum de cluster de failover recomendado. Se voc implantar um cluster

com um nmero par de ns e o armazenamento compartilhado estiver disponvel para o cluster,
o Gerenciador de Cluster de Failover selecionar automaticamente o modo de quorum Maioria
dos Ns e Discos. Se voc implantar um cluster com um nmero mpar de ns, o Gerenciador de
Cluster de Failover selecionar automaticamente o modo de quorum Maioria dos Ns. Voc no
deve modificar a configurao padro, a menos que entenda as implicaes dessa ao.
Implante hosts Hyper-V padronizados. Para simplificar a implantao e o gerenciamento do cluster

de failover e dos ns do Hyper-V, desenvolva uma plataforma de hardware e software de servidor
padro para todos os ns.
Desenvolva prticas de gerenciamento padro. Quando voc implanta vrias mquinas virtuais
em um cluster de failover, h um risco maior de um nico erro desligar uma grande parte da
implantao do servidor. Por exemplo, se um administrador configurar incorretamente o cluster
de failover e o cluster falhar, todas as mquinas virtuais do cluster ficaro offline. Para evitar isso,
desenvolva e teste completamente as instrues padronizadas para todas as tarefas administrativas.
11-9
Lio 2
Implementao de mquinas virtuais do Hyper-V

em clusters de failover
A implementao de mquinas virtuais altamente disponveis um pouco diferente da implementao
de outras funes em um cluster de failover. O cluster de failover no Windows Server 2012 oferece muitos
recursos para o clustering do Hyper-V, alm de ferramentas para o gerenciamento de alta disponibilidade
da mquina virtual. Nesta lio, voc aprender a implementar mquinas virtuais altamente disponveis.
Objetivos da lio
Descrever os componentes de um cluster do Hyper-V.
Descrever os pr-requisitos da implementao dos clusters do Hyper-V.
Implementar o cluster de failover para mquinas virtuais do Hyper-V.
Configurar CSVs.
Implementar mquinas virtuais altamente disponveis em compartilhamentos de arquivos SMB 3.0.
Descrever as consideraes da implementao dos clusters do Hyper-V.
Componentes dos clusters do Hyper-V

O Hyper-V como funo tem alguns requisitos
especficos para componentes de cluster. Para
formar um cluster do Hyper-V, voc deve ter pelo
menos dois ns fsicos. Enquanto outras funes
clusterizadas (como o servidor de arquivos DHCP)
permitem que os ns sejam mquinas virtuais, os
ns do Hyper-V devem ser compostos por hosts
fsicos. Voc no pode executar o Hyper-V em
uma mquina virtual em um host do Hyper-V.
Alm de ter ns, voc deve ter tambm redes
fsicas e virtuais. O cluster de failover requer uma
rede para comunicao interna do cluster e uma
rede para clientes. Voc tambm pode implementar separadamente uma rede de armazenamento,
dependendo do tipo de armazenamento que est usando. Mais uma vez, especificamente para a funo
Hyper-V, voc tambm deve considerar redes virtuais para mquinas virtuais clusterizadas. importante
criar as mesmas redes virtuais em todos os hosts fsicos que participam de um cluster. Se voc no fizer
isso, uma mquina virtual perder a conectividade de rede quando for movida de um host para outro.
11-10
O armazenamento um componente importante do clustering de mquina virtual. Voc pode usar

qualquer tipo de armazenamento com suporte no cluster de failover do Windows Server 2012. Como
prtica recomendada, configure o armazenamento como um CSV. Isso ser abordado posteriormente
em um tpico deste mdulo.
As mquinas virtuais so componentes de um cluster do Hyper-V. No Gerenciador de Cluster de Failover,
voc pode criar novas mquinas virtuais altamente disponveis ou tornar as mquinas virtuais existentes
altamente disponveis. Em ambos os casos, o local de armazenamento da mquina virtual deve estar em
armazenamento compartilhado que todos os ns podem acessar. No entanto, talvez no seja necessrio
tornar todas as mquinas virtuais altamente disponveis. No Gerenciador de Cluster de Failover, voc
pode selecionar quais mquinas virtuais faro parte de uma configurao de cluster.
Pr-requisitos da implementao dos clusters do Hyper-V

Para implantar o Hyper-V em um cluster de
failover, voc deve assegurar que os requisitos
de infraestrutura de hardware, software, conta
e rede sejam atendidos conforme detalhado
nas sees a seguir.
Requisitos de hardware para cluster

de failover com o Hyper-V
Voc deve ter o seguinte hardware
para um cluster de failover de dois ns:
Hardware de servidor. O Hyper-V

requer um processador baseado em x64,
virtualizao auxiliada por hardware e preveno de execuo de dados (DEP) imposta por hardware.
Como prtica recomendada, os servidores devem ter hardware similar. Se voc estiver usando
o Windows Server 2008, os processadores nos servidores devero ter a mesma verso. Se voc
estiver usando o Windows Server 2008 R2 ou Windows Server 2012, os processadores devero
usar a mesma arquitetura.
Observao: A Microsoft s oferecer suporte a uma soluo de cluster de failover se

todos os recursos de hardware estiverem marcados como Certificado para Windows Server.
Alm disso, a configurao completa (servidores, rede e armazenamento) deve passar em todos
os testes do Assistente para Validar Configurao, que includo no snap-in Gerenciador
de Cluster de Failover.
Adaptadores de rede. Assim como acontece com os outros recursos na soluo de cluster
de failover, o hardware de rede deve ser marcado como Certificado para Windows Server.
Para fornecer redundncia de rede, voc pode conectar ns de cluster a vrias redes distintas
ou conectar os ns a uma rede que usa adaptadores de rede emparelhados, comutadores
redundantes, roteadores redundantes ou hardware semelhante para remover pontos de falha
nicos. Como prtica recomendada, voc deve configurar vrios adaptadores de rede no
computador host configurado como n de cluster. Voc deve conectar um adaptador
rede privada usada pelas comunicaes entre hosts.
11-11
Adaptadores de armazenamento. Se voc usar SAS ou Fiber Channel, os controladores de dispositivo

de armazenamento em massa devero ser idnticos em todos os servidores clusterizados e usar a
mesma verso de firmware. Se voc estiver usando o iSCSI, cada servidor clusterizado dever ter
um ou mais adaptadores de rede dedicados ao armazenamento de cluster. Os adaptadores de rede
que voc usa para se conectar ao destino de armazenamento iSCSI devem ser idnticos e voc deve
usar um Gigabit Ethernet de 1 gigabit ou um adaptador de rede mais rpido.
Armazenamento. Voc deve usar o armazenamento compartilhado compatvel com o

Windows Server 2012. Se voc implantar um cluster de failover que usa um disco testemunha,
o armazenamento dever conter pelo menos dois volumes separados (ou LUNs). Um volume
funciona como disco testemunha e os volumes adicionais contm os arquivos da mquina
virtual compartilhados entre os ns do cluster. Estas so as consideraes e as recomendaes
sobre o armazenamento:
o
Use discos bsicos, e no discos dinmicos. Formate os discos com o sistema de arquivos NTFS.
Use o registro mestre de inicializao (MBR) ou a tabela de partio (GPT).
Se voc estiver usando uma rede de rea de armazenamento (SAN), o driver de miniporta
que o armazenamento usa dever funcionar com o driver de armazenamento do Storport.
Considere o uso do software Multipath I/O: Se sua rede SAN usar um design de rede altamente
disponvel com componentes redundantes, voc poder implantar clusters de failover com vrios
adaptadores de barramento de host usando o software Multipath I/O. Isso fornecer o nvel mais
alto de redundncia e disponibilidade. Para o Windows Server 2008 R2 e o Windows Server 2012,
sua soluo de caminhos mltiplos deve se basear no Multipath I/O (MPIO).
Requisitos de software para uso do Hyper-V e do cluster de failover

Estes so os requisitos de software para a utilizao do Hyper-V e do cluster de failover:
Todos os servidores em um cluster de failover devem executar a verso x64 do Windows Server 2012
Standard ou Windows Server 2012 Datacenter. Os ns de um nico cluster de failover no podem
executar verses diferentes.
Todos os servidores devem ter as mesmas atualizaes de software e os mesmos service packs.
Todos os servidores devem ser instalados como uma instalao Server Core ou uma instalao
completa.
Requisitos de infraestrutura de rede

A seguinte infraestrutura de rede e permisses de domnio so necessrias para um cluster de failover:
Configuraes de rede e endereos IP. Use configuraes de comunicao idnticas em todos os

adaptadores de rede, incluindo as configuraes de velocidade, modo duplex, controle de fluxo
e tipo de mdia. Verifique se todo o hardware de rede oferece suporte s mesmas configuraes.
Se voc usar redes privadas no roteadas para toda a infraestrutura de rede a fim de estabelecer a
comunicao entre os ns de cluster, verifique se cada uma dessas redes privadas usa uma sub-rede
exclusiva.
DNS. Os servidores do cluster devem usar o Sistema de Nomes de Domnio (DNS) para resoluo
de nomes. Voc deve usar o protocolo de atualizao dinmica de DNS.
11-12
Funo de domnio. Todos os servidores do cluster devem estar no mesmo domnio dos Servios
de Domnio Active Directory (AD DS). Como prtica recomendada, todos os servidores clusterizados
devem ter a mesma funo de domnio: servidor membro ou controlador de domnio. A funo
recomendada servidor membro. Voc deve evitar a instalao de ns de cluster em controladores
de domnio, pois o AD DS tem seu prprio mecanismo de alta disponibilidade.
Conta para administrar o cluster. Ao criar um cluster pela primeira vez ou adicionar servidores a ele,
voc deve entrar no domnio com a conta de um administrador em todos os servidores do cluster.
Alm disso, se a conta no for uma conta Admins. do Domnio, ela dever ter a permisso Criar
Objetos de Computador no domnio.
Implementao do cluster de failover para mquinas virtuais do Hyper-V

Para implementar o cluster de failover para
as mquinas virtuais do Hyper-V, voc deve
concluir as seguintes etapas bsicas:
1.
Instale e configure as verses necessria

do Windows Server 2012. Aps concluir a
instalao, defina as configuraes de rede,
ingresse os computadores em um domnio
do Active Directory e configure a conexo
com o armazenamento compartilhado.
2.
Configure o armazenamento compartilhado.

Voc deve usar o Gerenciador de Disco para
criar parties de disco no armazenamento
compartilhado.
3.
Instale os recursos do Hyper-V e do cluster de failover nos servidores host. Use o Gerenciador do
Servidor no Console de Gerenciamento Microsoft (MMC) ou no Windows PowerShell para fazer isso.
4.
Valide a configurao do cluster. O Assistente para Validar Cluster verifica todos os componentes
de pr-requisito necessrios para criar um cluster e fornece avisos ou erros se algum componente
no estiver de acordo com os requisitos de cluster. Antes de continuar, resolva qualquer problema
identificado por esse assistente.
5.
Crie o cluster. Depois que os componentes passarem nas etapas do Assistente para Validar Cluster,
voc poder criar um cluster. Quando voc configurar o cluster, atribua um nome de cluster
e um endereo IP. Uma conta de computador para o nome de cluster criada no domnio
do Active Directory e o endereo IP registrado no DNS.
Observao: Voc poder habilitar o armazenamento compartilhado clusterizado para

o cluster somente depois que configurar o cluster. Se quiser usar o CSV, configure-o antes
de passar para a prxima etapa.
11-13
6.
Crie uma mquina virtual em um dos ns do cluster. Ao criar a mquina virtual, verifique se todos os
arquivos associados mquina virtual, incluindo os arquivos de configurao do disco rgido virtual
e da mquina virtual, esto no armazenamento compartilhado. Voc pode criar e gerenciar mquinas
virtuais no Gerenciador Hyper-V ou no Gerenciador de Cluster de Failover. Quando voc cria uma
mquina virtual usando o Gerenciador de Cluster de Failover, ela se torna altamente disponvel
automaticamente.
7.
Torne a mquina virtual altamente disponvel. Para tornar a mquina virtual altamente disponvel,
no Gerenciador de Cluster de Failover, selecione a opo que tornar um novo servio ou aplicativo
altamente disponvel. O Gerenciador de Cluster de Failover exibir uma lista dos servios e aplicativos
que podem se tornar altamente disponveis. Quando voc selecionar a opo para tornar as
mquinas virtuais altamente disponveis, poder selecionar a mquina virtual criada no
armazenamento compartilhado.
Observao: Quando voc optar por tornar uma mquina virtual altamente disponvel,
ver uma lista de todas as mquinas virtuais hospedadas em todos os ns de cluster, incluindo
as mquinas virtuais que no esto no armazenamento compartilhado. Se voc tornar altamente
disponvel uma mquina virtual que no est localizada no armazenamento compartilhado,
receber um aviso, mas o Hyper-V adicionar a mquina virtual lista de servios e aplicativos.
Entretanto, quando voc tentar migrar a mquina virtual para um host diferente, a migrao
falhar.
8.
Teste o failover de mquina virtual. Depois que voc tornar a mquina virtual altamente
disponvel, poder migrar o computador para outro n no cluster. Se voc estiver executando
o Windows Server 2008 R2 ou Windows Server 2012, poder optar por executar uma migrao
rpida ou uma migrao ao vivo.
Configurao de CSVs
No necessrio configurar e usar o CSV
ao implementar a alta disponibilidade para
mquinas virtuais no Hyper-V. Na verdade,
voc pode configurar um cluster do Hyper-V
sem usar o CSV. No entanto, como prtica
recomendada, voc usa o CSV para perceber
as seguintes vantagens:
LUNs reduzidos para os discos. Voc

pode usar o CSV para reduzir o nmero
de LUNs exigidos pelas mquinas virtuais.
Ao configurar um CSV, voc poder
armazenar vrias mquinas virtuais em um
nico LUN, e vrios computadores host podero acessar o mesmo LUN simultaneamente.
Melhor uso do espao em disco. Em vez de colocar cada arquivo de disco rgido virtual (.vhdx) em um
disco separado com espao vazio para que o arquivo .vhdx possa se expandir, voc poder subscrever
em excesso o espao em disco armazenando vrios arquivos .vhdx no mesmo LUN.
11-14
Armazene os arquivos de mquina virtual em um nico local lgico. Voc pode rastrear os caminhos
dos arquivos .vhdx e de outros arquivos utilizados pelas mquinas virtuais. Em vez de usar letras de
unidade ou GUIDs para identificar discos, voc pode especificar os nomes de caminho. Quando
voc implementa o CSV, todos os armazenamentos adicionados aparecem na pasta \ClusterStorage.
A pasta \ClusterStorage criada na pasta do sistema do n do cluster e no pode ser movida. Isso
significa que todos os hosts do Hyper-V membros do cluster devem usar a mesma letra da unidade
do sistema; do contrrio, failovers de mquina virtual apresentaro falha.
Nenhum requisito de hardware especfico. A implementao do CSV no tem requisitos de hardware

especficos. Voc pode implementar o CSV em qualquer configurao de disco com suporte, e nas
SANs Fiber Channel ou iSCSI.
Maior resilincia. O CSV aumenta a resilincia porque o cluster poder responder corretamente
mesmo se a conectividade entre um n e a rede SAN for interrompida ou parte de uma rede estiver
inoperante. O cluster roteia novamente o trfego para o CSV atravs de uma parte intacta da SAN
ou da rede.
Implementao do CSV
Depois de criar o cluster de failover, voc poder habilitar o CSV para o cluster e adicionar
armazenamento ao CSV.
Para que voc possa adicionar o armazenamento ao CSV, o LUN dever estar disponvel como
armazenamento compartilhado para o cluster. Quando voc cria um cluster de failover, todos
os discos compartilhados configurados no Gerenciador do Servidor so adicionados ao cluster e
voc pode adicion-los a um CSV. Se voc adicionar mais LUNs ao armazenamento compartilhado,
crie primeiramente volumes no LUN, adicione o armazenamento ao cluster e depois adicione
o armazenamento ao CSV.
Como prtica recomendada, voc deve configurar o CSV antes de tornar qualquer mquina virtual
altamente disponvel. Entretanto, voc pode converter o acesso de disco normal em CSV aps
a implantao. Ao implementar o CSV, considere o seguinte:
A letra de unidade ou o ponto de montagem do LUN removido quando voc converte o acesso
normal do disco em CSV. Isso significa que voc deve recriar todas as mquinas virtuais localizadas
no armazenamento compartilhado. Se voc precisar manter as mesmas configuraes de mquina
virtual, recomendvel exportar as mquinas virtuais, alternando para CSV e importando-as para
o Hyper-V. Alm disso, recomendvel usar a opo de migrao de armazenamento disponvel
na funo do Hyper-V no Windows Server 2012.
Voc no pode converter armazenamento compartilhado em CSV. Se houver uma nica mquina
virtual em execuo usando um disco de cluster, desligue a mquina virtual e adicione o disco
ao CSV.
11-15
Implementao de mquinas virtuais altamente disponveis

em um compartilhamento de arquivos SMB 3.0
No Windows Server 2012, voc pode usar
uma nova tcnica para tornar as mquinas
virtuais altamente disponvel. Em vez de usar
o clustering de host ou convidado, agora voc
pode armazenar arquivos de mquina virtual
em um compartilhamento de arquivos SMB 3.0
altamente disponvel. Com essa abordagem,
a alta disponibilidade no obtida atravs do
clustering de ns do Hyper-V, mas por meio
de servidores de arquivos que hospedam
arquivos de mquina virtual nos respectivos
compartilhamentos de arquivos. Com esse novo
recurso, o Hyper-V pode armazenar todos os arquivos de mquina virtual, incluindo a configurao,
os arquivos .vhdx e os instantneos, em compartilhamentos de arquivos SMB 3.0 altamente disponveis.
A alta disponibilidade requer a seguinte infraestrutura:
Um ou mais computadores executando o Windows Server 2012 com a funo Hyper-V instalada.
Um ou mais computadores executando o Windows Server 2012 com a funo Servios de Arquivo
e Armazenamento instalada.
Membros do domnio na infraestrutura do Active Directory. os servidores que esto executando

o AD DS no precisam executar o Windows Server 2012.
Antes de implementar mquinas virtuais em um compartilhamento de arquivos SMB 3.0, configure um

cluster de servidores de arquivos. Para fazer isso, voc deve ter pelo menos dois ns de cluster, ambos
com servios de arquivos e cluster de failover instalados. No console do Cluster de Failover console, crie
um cluster de servidores de arquivos escalvel. Depois que voc configurar o cluster, implante o novo
compartilhamento de arquivos SMB para aplicativos. Esse compartilhamento armazena arquivos de
mquina virtual. Quando o compartilhamento for criado, voc poder usar o Gerenciador Hyper-V para
implantar novas mquinas virtuais no compartilhamento de arquivos SMB 3.0 ou poder migrar as
mquinas virtuais existentes para o compartilhamento de arquivos SMB usando o mtodo de migrao
de armazenamento.
11-16
Demonstrao: Implementao de mquinas virtuais em clusters (opcional)

Nesta demonstrao, voc aprender a implementar mquinas virtuais em um cluster de failover.
Movimentao do armazenamento da mquina virtual para o destino iSCSI
Na LON-HOST1, abra o Explorador de Arquivos, navegue at E:\Arquivos de Programas\

Microsoft Learning\24412\24412B-LON-CORE\Virtual Hard Disks e mova
24412B-LON-CORE.vhd para C:\ClusterStorage\Volume1.
Configure a mquina como altamente disponvel.

1.
No Gerenciador de Cluster de Failover, clique em Funes e inicie o Assistente de Nova

Mquina Virtual.
2.
No Assistente de Nova Mquina Virtual, use as seguintes configuraes:
3.
N de cluster: LON-HOST2
Nome do computador: TestClusterVM
Armazene o arquivo em C:\ClusterStorage\Volume1
RAM de TestClusterVM: 1536 MB
Conecte a mquina ao disco rgido virtual existente 24412B-LON-CORE.vhd localizado

em C:\ClusterStorage\Volume1.
No n Funes, inicie a mquina virtual.
Consideraes sobre a implementao dos clusters do Hyper-V

Ao implementar o cluster de failover do host,
voc pode tornar as mquinas virtuais altamente
disponveis. Entretanto, a implementao do
cluster de failover do host tambm agrega custo
e complexidade significativos a uma implantao
do Hyper-V. Voc deve investir em hardware
de servidor adicional para fornecer redundncia
e deve implementar ou ter acesso a uma
infraestrutura de armazenamento compartilhada.
11-17
Considere as seguintes recomendaes para assegurar que a estratgia de cluster de failover atender aos
requisitos da organizao:
Identifique os componentes ou servios que exigem alta disponibilidade. A menos que voc tenha
a opo de tornar todas as mquinas virtuais altamente disponveis, desenvolva prioridades para
os aplicativos que voc tornar altamente disponveis.
Identifique os componentes que devem estar altamente disponveis para tornar os aplicativos
altamente disponveis. Em alguns casos, o aplicativo pode ser executado em um nico servidor, e
tornar esse servidor altamente disponvel tudo o que voc precisa fazer. Outros aplicativos podem
exigir que vrios servidores e componentes (como o armazenamento ou a rede) se tornem altamente
disponveis. Alm disso, assegure que os controladores de domnio esto altamente disponveis e
que voc tem pelo menos um controlador de domnio na infraestrutura de hardware ou virtualizao
separada.
Identifique as caractersticas do aplicativo. Voc deve compreender vrios aspectos sobre o aplicativo.
o
A virtualizao do servidor que est executando o aplicativo uma opo? Alguns aplicativos
no tm suporte ou no so recomendados em um ambiente virtual.
Quais so as opes disponveis para tornar o aplicativo altamente disponvel? Voc pode tornar
alguns aplicativos altamente disponveis atravs de opes que no sejam o clustering de host.
Se outras opes estiverem disponveis, avalie os benefcios e as desvantagens de cada opo.
Quais so os requisitos de desempenho de cada aplicativo? Colete informaes de desempenho

sobre os servidores que esto executando os aplicativos no momento. Isso ajudar voc
a compreender os requisitos de hardware exigidos durante a virtualizao do servidor.
Qual a capacidade necessria para tornar as mquinas virtuais do Hyper-V altamente

disponveis? Assim que voc identificar todos os aplicativos que deve tornar altamente
disponveis usando o clustering de host, poder comear a projetar a implantao real do
Hyper-V. Ao identificar os requisitos de desempenho, e os requisitos de rede e armazenamento
de aplicativos, voc poder definir o hardware que precisa implementar para todos os aplicativos
em um ambiente altamente disponvel.
A migrao ao vivo um dos aspectos mais importantes do clustering do Hyper-V. Voc usa o recurso
Migrao ao Vivo no Windows Server 2012 para executar migraes ao vivo de mquinas virtuais.
Ao implementar a migrao ao vivo, considere o seguinte:
Verifique os requisitos bsicos. A migrao ao vivo requer que todos os hosts faam parte de um
cluster de failover do Windows Server 2012 e que os processadores do host devem tenham a mesma
arquitetura. Todos os hosts do cluster devem ter acesso a armazenamento compartilhado, que atende
aos requisitos do CSV.
Configure um adaptador de rede dedicado para a rede virtual privada. Quando voc implementar
o cluster de failover, dever configurar uma rede privada para o trfego de pulsao de cluster.
Voc usar essa rede para transferir a memria da mquina virtual durante um failover. Para otimizar
essa configurao, configure um adaptador para essa rede que tenha a capacidade de 1 gigabit
por segundo (Gbps) ou mais.
Observao: Voc deve habilitar os componentes Cliente para Redes Microsoft

e Compartilhamento de Arquivos e Impressoras para Redes Microsoft para o adaptador
de rede que deseja usar na rede privada.
11-18
Use um hardware de host similar. Como prtica recomendada, todos os ns de cluster de failover
devem usar o mesmo hardware para se conectar ao armazenamento compartilhado, e todos os
ns do cluster devem ter processadores com a mesma arquitetura. Embora voc possa habilitar
o failover para mquinas virtuais em um host com verses de processador diferentes definindo
configuraes de compatibilidade de processador, o desempenho e a experincia do failover
sero mais consistentes se todos os servidores tiverem um hardware similar.
Verifique a configurao da rede. Todos os ns no cluster de failover devem se conectar atravs

da mesma sub-rede IP, a fim de que a mquina virtual possa continuar se comunicando atravs
do mesmo endereo IP aps a migrao ao vivo. Alm disso, os endereos IP atribudos rede
privada em todos os ns devem estar na mesma sub-rede lgica. Isso significa que os clusters
multissite devem usar uma rede local virtual (VLAN) alongada, que uma sub-rede que atravessa
uma conexo de rede de longa distncia (WAN).
Gerencie as migraes ao vivo. No Windows Server 2008 R2, cada n no cluster de failover pode
executar somente uma migrao ao vivo por vez. Se, no Windows Server 2008 R2, voc tentar
iniciar uma segunda migrao ao vivo antes do trmino da primeira, a migrao falhar. Agora,
no Windows Server 2012, voc pode executar vrias migraes ao vivo simultaneamente.
11-19
Lio 3
Implementao da movimentao de mquinas virtuais

do Hyper-V
A movimentao de mquinas virtuais de um local para outro um procedimento comum nos ambientes
do Hyper-V. Enquanto a movimentao de mquinas virtuais nas verses anteriores do Windows Server
exigia um tempo de inatividade, o Windows Server 2012 introduz novas tecnologias para permitir
a movimentao de mquinas virtuais sem interrupes. Nesta lio, voc obter informaes sobre
as opes de movimentao e migrao de mquinas virtuais.
Objetivos da lio
Descrever as opes de migrao de mquinas virtuais.
Descrever a migrao de armazenamento.
Descrever a migrao ao vivo.
Explicar como funcionam as rplicas do Hyper-V.
Configurar uma rplica do Hyper-V.
Opes de migrao de mquina virtual

H vrios cenrios em que necessrio
migrar mquinas virtuais de um local para
outro. Por exemplo, talvez voc precise mover
um disco rgido virtual (VHD) de mquina virtual
de uma unidade fsica para outra no mesmo
host. Alternativamente, talvez seja necessrio
mover uma mquina virtual de um n em um
cluster para outro ou simplesmente mover um
computador de um servidor host para outro
sem que os hosts sejam membros de um cluster.
Comparado com o Windows Server 2008 R2,
o Windows Server 2012 fornece aprimoramentos
significativos para esse processo.
No Windows Server 2012, voc pode migrar mquinas virtuais usando os seguintes mtodos:
Migrao de mquina virtual e de armazenamento. Com esse mtodo, voc move uma mquina
virtual ligada de um local para outro (ou de um host para outro) usando um assistente no
Gerenciador Hyper-V. A migrao de mquina virtual e de armazenamento no requerem cluster
de failover ou qualquer outra tecnologia de alta disponibilidade. Alm disso, voc no precisa
de armazenamento compartilhado quando move apenas a mquina virtual.
Migrao rpida. Este mtodo tambm est disponvel no Windows Server 2008. Ele requer que voc
tenha um cluster de failover instalado e configurado. O processo de migrao rpida salva o estado
da mquina virtual antes do failover e reinicia a mquina virtual depois que failover concludo.
11-20
Migrao ao vivo. Este recurso uma melhoria sobre a migrao rpida. Ele tambm est disponvel
no Windows Server 2008 R2. O recurso Migrao ao Vivo permite migrar uma mquina virtual de um
host para outro sem tempo de inatividade. Diferente do processo de migrao rpida, a migrao ao
vivo no salva o estado da mquina virtual; em vez disso, ele sincroniza o estado durante o failover.
Rplica do Hyper-V. Este novo recurso do Windows Server 2012 permite replicar uma mquina
virtual, em vez de mov-la para outro host, e sincronizar todas as alteraes da mquina virtual
do host primrio para o host que contm a rplica.
Exportao e importao de mquinas virtuais. Este um mtodo estabelecido para mover mquinas
virtuais sem usar um cluster. Voc exporta uma mquina virtual em um host e, em seguida, move
fisicamente os arquivos exportados para outro host executando uma operao de importao.
Historicamente, essa operao demorada exige que voc desative as mquinas virtuais durante
a exportao e a importao. No Windows Server 2012, este mtodo de migrao melhorado.
Voc pode importar uma mquina virtual para um host do Hyper-V sem export-la antes da
importao. Agora, a funo Hyper-V no Windows Server 2012 capaz de definir todas as
configuraes necessrias durante a operao de importao.
Como funciona a migrao de mquina virtual e de armazenamento?

Os administradores podem ter vrias razes
para mover os arquivos de mquina virtual
para outro local. Por exemplo, se o disco
no qual um disco rgido de mquina virtual
reside ficar sem espao, voc dever mover a
mquina virtual para outra unidade ou volume.
A movimentao de mquinas virtuais para
outros hosts um procedimento comum.
No Windows Server 2008 e no
Windows Server 2008 R2, a movimentao
de uma mquina virtual resultava em tempo
de inatividade porque ela tinha que ser desligada.
Se voc movesse uma mquina virtual entre dois hosts, tambm tinha que executar operaes de
exportao e importao para essa mquina virtual especfica. As operaes de exportao podem
ser demoradas, dependendo do tamanho dos discos rgidos virtuais.
No Windows Server 2012, a migrao de mquina virtual e de armazenamento permite mover uma
mquina virtual e seu armazenamento para outro local no mesmo host, ou para outro computador
host, sem que seja necessrio desligar a mquina virtual.
A migrao de mquina virtual e de armazenamento funciona da seguinte maneira:
1.
Para copiar um disco rgido virtual, inicie a migrao de armazenamento ao vivo usando o console
do Hyper-V. Se desejar, voc pode usar os cmdlets do Windows PowerShell.
2.
O processo de migrao cria um novo VHD no local de destino e inicia o processo de cpia.
3.
Durante o processo de cpia, a mquina virtual completamente funcional. No entanto, todas

as alteraes que ocorrem durante o processo de cpia so gravadas nos locais de origem
e de destino. As operaes de leitura so executadas somente no local de origem.
4.
Assim que o processo de cpia de disco concludo, o Hyper-V alterna as mquinas virtuais
para serem executadas no disco rgido virtual de destino. Alm disso, se voc estiver movendo
a mquina virtual para outro host, a configurao do computador ser copiada e a mquina
virtual ser associada ao host. Se ocorrer uma falha no lado do destino, sempre haver uma
opo de failback que poder ser executada no diretrio de origem.
5.
Depois que a mquina virtual concluir a migrao, o processo excluir os discos rgidos virtuais
de origem.
O momento em que ser necessrio mover uma mquina virtual depende dos locais de origem e de
destino, a velocidade dos discos rgidos, o armazenamento ou a rede, e o tamanho dos discos rgidos
virtuais. O processo de movimentao ser mais rpido se os locais de origem e de destino estiverem
no armazenamento, e se o armazenamento oferecer suporte a arquivos .odx. Em vez de usar as
operaes de leitura e gravao armazenadas em buffer, o arquivo .odx inicia a operao de cpia
com um comando de leitura de descarregamento e recupera um token que representa os dados do
dispositivo de armazenamento. Ele usa um comando de gravao de descarregamento com o token
para solicitar a movimentao dos dados do disco de origem para o disco de destino.
Quando voc mover os discos rgidos virtuais de uma mquina virtual para outro local, o Assistente
para Movimentao de Mquina Virtual apresenta trs opes disponveis:
Mova todos os dados da mquina virtual para um nico local. Especifique um nico local
de destino, como arquivo de disco, configurao, instantneo e paginao inteligente.
Mova os dados da mquina virtual para um local diferente. Especifique locais individuais
para cada item de mquina virtual.
Mova somente o disco rgido virtual da mquina virtual. Mova apenas o arquivo de disco
rgido virtual.
Como funciona a migrao ao vivo?

A migrao ao vivo permite mover as mquinas
virtuais em execuo de um n do cluster de
failover para outro n no mesmo cluster. Com
a migrao ao vivo, os usurios conectados
mquina virtual quase no experimentaro
interrupo do servidor.
Observao: Embora voc tambm possa
executar a migrao ao vivo de mquinas virtuais
usando o mtodo de migrao de mquina virtual
e de armazenamento descrito no tpico anterior,
voc deve estar ciente de que a migrao ao vivo
baseia-se no cluster de failover. Diferente do cenrio de migrao de armazenamento, voc
s poder executar a migrao ao vivo se as mquinas virtuais estiverem altamente disponveis.
11-21
11-22
Voc pode iniciar uma migrao ao vivo por meio de um destes mtodos:
O console do Gerenciador de Cluster de Failover.
O Console do Administrador do Virtual Machine Manager, se voc usar o VMM para gerenciar
os hosts fsicos.
Uma Instrumentao de Gerenciamento do Windows (WMI) ou um script do Windows PowerShell.
Observao: A migrao ao vivo permite reduzir significativamente a interrupo

percebida de uma mquina virtual durante um failover planejado. Durante um failover
planejado, voc inicia o failover manualmente. A migrao ao vivo no se aplica durante
um failover no planejado; por exemplo, quando o n que hospeda a mquina virtual
apresenta falha.
Processo de migrao ao vivo

O processo de migrao ao vivo composto por quatro etapas que so executadas em segundo plano:
1.
Configurao da migrao. Quando voc inicia o failover da mquina virtual, o n de origem cria
uma conexo TCP com o host fsico de destino. Essa conexo usada para transferir os dados de
configurao de mquina virtual para o host fsico de destino. A migrao ao vivo cria uma mquina
virtual temporria no host fsico de destino e aloca memria para a mquina virtual de destino.
A preparao da migrao tambm verifica se a mquina virtual pode ser migrada.
2.
Transferncia da memria de convidado. A memria do convidado transferida de forma iterativa

para o host de destino enquanto a mquina virtual ainda est em execuo no host de origem.
O Hyper-V do host fsico de origem monitora as pginas no conjunto de trabalho. medida que
o sistema modifica as pginas de memria, ele as rastreia e marca como modificadas. Durante essa
fase da migrao, a mquina virtual em migrao continua em execuo. O Hyper-V itera o processo
de cpia de memria vrias vezes e sempre que um nmero menor de pginas modificadas so
copiadas para o computador fsico de destino. Um processo final de cpia de memria copia as
pginas de memria modificadas restantes para o host fsico de destino. A cpia interrompida
assim que o nmero de pginas modificadas na memria fsica mas ainda no regravadas
no disco (geralmente chamadas de pginas sujas) fica abaixo de um limite ou depois que
10 iteraes so concludas.
3.
Transferncia de estado. Para migrar a mquina virtual para o host de destino, o Hyper-V interrompe
a partio de origem, transfere o estado da mquina virtual (incluindo as pginas de memria sujas
restantes) para o host de destino e restaura a mquina virtual no host de destino. A mquina virtual
pausada durante a transferncia de estado final.
4.
Limpeza. A fase de limpeza conclui a migrao destruindo a mquina virtual no host de origem,
finalizando os threads de trabalho e sinalizando a concluso da migrao.
11-23
Como a rplica de Hyper-V funciona?

Em alguns casos, talvez seja necessrio ter
uma cpia sobressalente de uma mquina
virtual que voc poder executar se a mquina
virtual original apresentar falha. No entanto,
quando voc implementar a alta disponibilidade,
ter apenas uma instncia de uma mquina
virtual. A alta disponibilidade no impede os
danos no software que est sendo executado
na mquina virtual. Uma forma de corrigir os
danos copiar a mquina virtual. Voc tambm
pode fazer backup da mquina virtual e de seu
armazenamento. Embora essa soluo oferea
o resultado desejado, ela utiliza muitos recursos e demorada.
Para resolver esse problema e permitir que os administradores tenham uma cpia atualizada
de uma nica mquina virtual, a Microsoft implementou a Rplica do Hyper-V, um recurso do
Windows Server 2012. Esse recurso permite que as mquinas virtuais em execuo em um local ou host
de site primrio sejam replicadas em um local ou host de site secundrio em um link WAN ou LAN.
A rplica do Hyper-V permite que voc tenha duas instncias de uma nica mquina virtual em hosts
diferentes: uma como cpia principal (viva) e outra como rplica (offline). Essas cpias so sincronizadas,
e voc pode executar o failover a qualquer momento. Caso ocorra uma falha em um site primrio, voc
poder usar a Rplica do Hyper-V para executar um failover das cargas de trabalho de produo nos
servidores de rplica em um local secundrio dentro de alguns minutos, incorrendo em um tempo de
inatividade mnimo. As rplicas do Hyper-V so atualizadas a cada 5 minutos atravs de um processo
de sincronizao. Voc no pode modificar essa agenda de replicao.
As configuraes de site no precisam usar o mesmo servidor ou hardware de armazenamento.
A Rplica do Hyper-V permite que um administrador restaure as cargas de trabalho virtualizadas para
um momento determinado, dependendo das selees de Histrico de Recuperao da mquina virtual.
A Rplica do Hyper-V consiste em vrios componentes:
Mecanismo de replicao: o mecanismo de replicao gerencia os detalhes da configurao de

replicao e gerencia a replicao inicial, a replicao de delta, o failover e as operaes do failover
de teste. Ela rastreia tambm os eventos de mobilidade de mquina virtual e de armazenamento,
e toma as providncias necessrias. Ou seja, ela pausa os eventos de replicao at que os eventos
de migrao sejam concludos e retoma a atividade de onde parou.
Controle de alteraes: este componente controla as alteraes efetuadas na cpia primria da

mquina virtual. Ele foi projetado para controlar as alteraes independentemente do local onde
os arquivos .vhdx da mquina virtual residem.
11-24
Mdulo de rede: o mdulo de rede fornece um modo seguro e eficiente de transferir rplicas
de mquina virtual entre hosts primrios e hosts de rplica. Ele usa a compactao de dados,
que habilitada por padro. A operao de transferncia segura porque se baseia na autenticao
HTTPS e baseada em certificao.
Funo de servidor Agente de Rplica do Hyper-V: uma nova funo de servidor implementada
no Windows Server 2012 e configurada durante o cluster de failover. Ela permite que voc tenha a
funcionalidade Rplica do Hyper-V at mesmo quando a mquina virtual que est sendo replicada
estiver altamente disponvel e puder ser movida de um n de cluster para outro. O servidor do
Agente de Rplica do Hyper-V redireciona todos os eventos especficos de mquina virtual para o
n apropriado no cluster de rplica. O Agente consulta o banco de dados de cluster para determinar
qual n deve tratar quais eventos. Isso assegura que todos os eventos sejam redirecionados para
o n correto no cluster caso um processo de migrao rpida, migrao ao vivo ou migrao
de armazenamento seja executado.
Configurao da Rplica do Hyper-V

Antes de implementar a Rplica do Hyper-V,
assegure que a infraestrutura atende aos
seguintes pr-requisitos:
O hardware de servidor oferece suporte

funo Hyper-V no Windows Server 2012.
Alm disso, assegure que o hardware de
servidor tem capacidade suficiente para
executar todas as mquinas virtuais nas
quais essa replicao feita.
Existe armazenamento suficiente

nos servidores primrio e de rplica
para hospedar os arquivos utilizados
pelas mquinas virtuais replicadas.
H conectividade de rede entre os locais que esto hospedando os servidores primrio e de rplica.
A conectividade pode ser feita atravs de um link WAN ou de rede local (LAN).
As regras de firewall so configuradas corretamente para habilitar a replicao entre os sites primrio
e de rplica. Por padro, o trfego usa a porta TCP 80 ou a porta 443.
Se voc deseja usar a autenticao baseada em certificado, assegure que existe um

certificado X.509v3 para oferecer suporte autenticao mtua com certificados.
Voc no precisa instalar a Rplica do Hyper-V separadamente. A Rplica do Hyper-V implementada

como parte da funo de servidor Hyper-V. Voc pode us-la nos servidores Hyper-V autnomos que
fazem parte de um cluster de failover (nesse caso, voc deve configurar a funo de servidor Agente
de Rplica do Hyper-V). Diferente do cluster de failover, uma funo Hyper-V no depende do AD DS.
Voc pode us-la com servidores Hyper-V autnomos ou membros de diferentes domnios do
Active Directory (exceto quando os servidores fizerem parte de um cluster de failover).
11-25
Para habilitar a Rplica do Hyper-V, primeiro defina as configuraes do servidor Hyper-V. No grupo
de opes Configurao de Replicao, habilite o servidor Hyper-V como um servidor de rplica, e
selecione as opes de autenticao e de porta. Voc tambm deve configurar as opes de autorizao.
Voc pode optar por habilitar a replicao em qualquer servidor que execute a autenticao com xito,
o que conveniente em cenrios em que todos os servidores fazem parte do mesmo domnio. Se desejar,
voc pode digitar os nomes de domnio totalmente qualificados (FQDNs) dos servidores que voc aceita
como rplicas. Alm disso, voc deve configurar o local dos arquivos de rplica. Voc deve definir essas
configuraes em cada servidor que servir como servidor de rplica.
Depois que configurar as opes no nvel do servidor, habilite a replicao em uma mquina virtual.
Durante essa configurao, voc deve especificar o nome do servidor de rplica e as opes da conexo.
Se a mquina virtual tiver mais de um VHD, voc poder selecionar quais unidades de VHD deseja
replicar. Voc tambm pode configurar o histrico de recuperao e o mtodo de replicao inicial.
Inicie o processo de replicao aps configurar essas opes.
Demonstrao: Implementao da Rplica do Hyper-V (opcional)

Nesta demonstrao, voc aprender a implementar a Rplica do Hyper-V.
Configurao de uma rplica
1.
2.
Em LON-HOST1 e LON-HOST2, configure cada servidor para ser um servidor de Rplica do Hyper-V.
o
Autenticao: Kerberos (HTTP)
Permitir replicao a partir de qualquer servidor autenticado
Crie e use a pasta E:\VMReplica como local padro para armazenamento de arquivos de rplica.
Habilite a regra de firewall Ouvinte de HTTP da Rplica do Hyper-V (TCP-In) em ambos os hosts.
Configurao da replicao
1.
2.
Em LON-HOST1, habilite a replicao para a mquina virtual 24412B-LON-CORE.

o
Selecione para ter apenas o ponto de recuperao mais recente disponvel.
Inicie a replicao imediatamente.
Aguarde a replicao inicial ser concluda e assegure que a mquina virtual 24412B-LON-CORE
ser exibida no Gerenciador Hyper-V em LON-HOST2.
11-26
Lio 4
Gerenciamento de ambientes virtuais do Hyper-V

usando o VMM
O VMM membro da famlia de produtos do System Center 2012. Ele sucessor do System Center
Virtual Machine Manager 2008 R2. O VMM estende a funcionalidade de gerenciamento dos hosts
e mquinas virtuais Hyper-V, e permite a implantao e o provisionamento das mquinas virtuais
e dos servios. Nesta lio, voc aprender mais sobre o VMM.
Objetivos da lio
Descrever o VMM.
Descrever os pr-requisitos da instalao do VMM.
Descrever os componentes da infraestrutura em nuvem privada do VMM.
Descrever como gerenciar hosts e grupos de hosts com o VMM.
Descrever como implantar mquinas virtuais com o VMM.
Descrever servios e modelos de servio.
Descrever migraes FV (P2V - physical to virtual) e VV (V2V - virtual to virtual).
Descrever as consideraes sobre a implantao de um servidor VMM altamente disponvel.
O que o System Center 2012 - Virtual Machine Manager?

O VMM uma soluo de gerenciamento para
um data center virtualizado. O VMM permite
criar e implantar mquinas virtuais e servios
em nuvens privadas configurando e gerenciando
o host de virtualizao, o sistema de rede e os
recursos de armazenamento. Voc tambm
pode usar o VMM para gerenciar hosts
VMware ESX e Citrix XenServer.
Um componente do System Center 2012,
o VMM descobre, captura e agrega conhecimento
da infraestrutura de virtualizao. O VMM
tambm gerencia polticas, processos e prticas
recomendadas descobrindo, capturando e agregando conhecimento da infraestrutura de virtualizao.
O VMM o sucessor do VMM 2008 R2 e um componente essencial na habilitao de infraestruturas de
nuvem privada, que facilita a transio do departamento de TI da empresa de um modelo de implantao
baseado em infraestrutura para um ambiente centrado no usurio e orientado a servios.
11-27
A arquitetura do VMM consiste em vrios componentes inter-relacionados. Os componentes so

os seguintes:
Servidor do Virtual Machine Manager. O servidor do Virtual Machine Manager o computador

no qual o servio VMM executado. O servidor do Virtual Machine Manager processa comandos
e controla as comunicaes com o banco de dados do Virtual Machine Manager, o servidor
de biblioteca e os hosts de mquina virtual. O servidor do Virtual Machine Manager o hub de
uma implantao do VMM atravs da qual todos os outros componentes do VMM interagem
e se comunicam. O servidor do Virtual Machine Manager tambm se conecta a um banco de
dados do Microsoft SQL Server que armazena todas as informaes de configurao do VMM.
Banco de dados do Virtual Machine Manager. O VMM usa um banco de dados do SQL Server
para armazenar as informaes exibidas no console de gerenciamento do VMM, como as mquinas
virtuais gerenciadas, os hosts de mquina virtual, as bibliotecas de mquina virtual, os trabalhos
e outros dados relacionados a mquinas virtuais.
Console de gerenciamento do VMM. O console de gerenciamento um programa que voc usa

para se conectar a um servidor de gerenciamento do VMM, exibir e gerenciar recursos fsicos e
virtuais, incluindo hosts de mquina virtual, mquinas virtuais, servios e recursos de biblioteca.
Biblioteca do Virtual Machine Manager. Uma biblioteca um catlogo de recursos, como discos
rgidos virtuais, modelos e perfis, que so usados para implantar mquinas virtuais e servios. Um
servidor de biblioteca tambm hospeda pastas compartilhadas que armazenam recursos baseados
em arquivo. O servidor do Virtual Machine Management sempre o servidor de biblioteca padro,
mas voc pode adicionar outros servidores de biblioteca posteriormente.
Shell de comando. O Windows PowerShell a interface de linha de comando usada para executar
cmdlets que executam todas as funes disponveis do VMM. Voc pode usar esses cmdlets
especficos do VMM para gerenciar todas as aes em um ambiente do VMM.
Portal de Autoatendimento. O Portal de Autoatendimento do Virtual Machine Manager um site

que os usurios com uma funo de autoatendimento podem usar para implantar e gerenciar suas
prprias mquinas virtuais.
Pr-requisitos da instalao do VMM 2012

Antes de implantar o VMM e seus componentes,,
assegure que o sistema estar em conformidade
com os requisitos de hardware e software. Embora
os requisitos de software no sejam alterados com
base no nmero de hosts gerenciados pelo VMM,
os pr-requisitos de hardware podem variar. Alm
disso, nem todos os componentes do VMM tm
os mesmos requisitos de hardware e software.
Observao: O Windows Server 2008 R2
e o Windows Server 2012 so os nicos sistemas
operacionais com suporte no VMM 2012.
11-28
Servidor do Virtual Machine Manager

Alm de ter o Windows Server 2008 R2 ou o Windows Server 2012 instalado, o software a seguir deve ser
instalado no servidor que executar o Virtual Machine Manager :
Microsoft .NET Framework 3.5 Service Pack 1 (SP1) ou mais recente
Kit de Instalao Automatizada do Windows (AIK)
Windows PowerShell 2.0, se o console de gerenciamento do VMM for executado no mesmo servidor
Gerenciamento Remoto do Windows 2.0. Observe que, por padro, o Windows Server 2008 R2 j
vem com tudo isso instalado; portanto, voc deve apenas verificar se o servio est em execuo.
SQL Server 2008 Service Pack 2 (SP2) (Standard ou Enterprise) ou SQL Server 2008 R2 SP1 Standard,
Enterprise ou Datacenter. Ser necessrio somente quando voc instalar o servidor de gerenciamento
do VMM e o SQL Server no mesmo computador.
Os requisitos de hardware variam, dependendo do nmero de hosts, e tm as seguintes limitaes:
CPU: CPU de ncleo nico, 2 gigahertz (GHz); CPU de ncleo duplo, 2,8 GHz
Memria de acesso aleatrio (RAM): 4 a 8 gigabytes (GB)
Espao em disco: 40 a 150 GB, depende se voc instalar um banco de dados do SQL Server
no mesmo servidor ou no. Alm disso, se a biblioteca estiver no mesmo servidor, o espao
em disco tambm depender do contedo da biblioteca.
Banco de dados do Virtual Machine Manager

O banco de dados do Virtual Machine Manager armazena todas as informaes de configurao do
VMM, que voc pode acessar e modificar usando o console de gerenciamento do VMM. O banco
de dados do Virtual Machine Manager requer o SQL Server 2008 SP2 ou mais recente. Por isso, os
requisitos de hardware bsicos para o banco de dados do Virtual Machine Manager so iguais aos
requisitos mnimos do sistema para a instalao do SQL Server. Alm disso, se voc estiver gerenciando
mais de 150 hosts, dever ter pelo menos 4 GB de RAM no servidor de banco de dados. Os requisitos
de software do Virtual Machine Manager so iguais aos do SQL Server.
Biblioteca do Virtual Machine Manager

A biblioteca do Virtual Machine Manager o servidor que hospeda recursos para compilar mquinas
virtuais, servios e nuvens privadas. Em ambientes menores, voc normalmente instala a biblioteca
do Virtual Machine Manager no servidor de gerenciamento do VMM. Se esse for o caso, os requisitos
de hardware e software sero iguais aos do servidor de gerenciamento do VMM. Em ambientes maiores
e mais complexos, recomendvel que voc mantenha a biblioteca do Virtual Machine Manager em um
servidor separado em uma configurao altamente disponvel. Se voc deseja implantar outro servidor
de biblioteca do Virtual Machine Manager, o servidor dever atender aos seguintes requisitos:
Sistema operacional com suporte: Windows Server 2008 ou Windows Server 2008 R2
Gerenciamento de hardware: Gerenciamento Remoto do Windows 2.0
CPU: pelo menos 2,8 GHz
RAM: pelo menos 2 GB
Espao em disco: varia de acordo com o nmero e o tamanho dos arquivos armazenados
11-29
Componentes de infraestrutura de nuvem privada no VMM

O principal conceito arquitetnico do
VMM a infraestrutura de nuvem privada.
Semelhante s solues de nuvem pblica
como o Windows Azure, a infraestrutura
de nuvem privada do VMM uma camada
de abstrao que protege as complexidades
tcnicas subjacentes e permite gerenciar
pools de recursos definidos que consistem
em servidores, sistema de rede e armazenamento,
na infraestrutura da empresa.
Usando a interface grfica do console
de gerenciamento do VMM, voc pode criar uma
nuvem privada nos hosts Hyper-V, VMware ESX ou Citrix XenServer. Voc tambm pode tirar proveito
dos atributos de computao em nuvem, incluindo autoatendimento, pool de recursos e elasticidade.
Voc pode configurar os seguintes recursos no espao de trabalho Fabric do console de gerenciamento
do VMM:
Servidores. No n Servidores, voc pode configurar e gerenciar vrios tipos de servidores. Os grupos
de hosts contm hosts de virtualizao, que so os destinos que voc pode usar para implantar
mquinas virtuais. Os servidores de biblioteca so os repositrios dos blocos de construo,
como imagens, arquivos .iso e modelos, para a criao de mquinas virtuais.
Sistema de rede. O n Sistema de Rede o local onde voc pode definir redes lgicas, atribuir pools
de IP estticos e endereos de controle de acesso mdia (MAC), e integrar balanceadores de carga.
As redes lgicas so agrupamentos de sub-redes IP e VLANs definidos pelo usurio que organizam
e simplificam atribuies de rede. As redes lgicas fornecem uma abstrao da infraestrutura fsica
subjacente, e permitem que voc provisione e isole o trfego de rede com base nos critrios
selecionados, como propriedades de conectividade e contratos de nvel de servio (SLAs).
Armazenamento. Voc pode descobrir, classificar e provisionar o armazenamento remoto

em matrizes de armazenamento com suporte. O VMM usa o Servio de Gerenciamento
de Armazenamento da Microsoft, que habilitado por padro durante a instalao
do VMM, para se comunicar com matrizes externas.
11-30
Gerenciamento de hosts, clusters de hosts e grupos de hosts com o VMM

Alm do gerenciamento de mquina virtual,
o VMM tambm pode ajudar voc a gerenciar
e implantar hosts Hyper-V. No VMM, voc
pode usar tecnologias como os Servios
de Implantao do Windows para implantar
hosts Hyper-V em computadores sem sistema
operacional e gerenci-los com o VMM.
Quando os hosts forem associados ao VMM,
voc poder configurar vrias opes, como
reservas de host, cotas, permisses e associaes
de nuvem. O VMM tambm pode gerenciar
clusters de failover do Hyper-V.
O VMM fornece dois novos recursos que ajudam a otimizar o consumo de energia e de recursos nos hosts
gerenciados pelo VMM: otimizao dinmica e otimizao de energia. A otimizao dinmica balanceia
a carga da mquina virtual em um cluster de host, enquanto a otimizao de energia permite ao VMM
evacuar hosts de cluster balanceados e deslig-los para economizar energia.
A maneira recomendada de organizar hosts no VMM criando grupos de hosts. Isso simplifica as tarefas
de gerenciamento. Um grupo de hosts permite aplicar configuraes a vrios hosts ou clusters de host
com uma nica ao. Por padro, h um nico grupo de hosts no VMM chamado Todos os Hosts.
No entanto, se necessrio, voc pode criar grupos adicionais para o seu ambiente.
Os grupos de hosts so hierrquicos. Quando voc cria um novo grupo de hosts filho, ele herda as
configuraes do grupo de hosts pai. Quando um grupo de hosts filho for movido para um novo grupo
de hosts pai, o grupo de hosts filho manter suas configuraes originais, com exceo das configuraes
do Performance and Resource Optimization (PRO), que so gerenciadas separadamente. Quando
as configuraes em um grupo de hosts pai forem alteradas, voc poder aplic-las aos grupos
de hosts filho.
Voc usa os grupos de hosts nos seguintes cenrios:
Para fornecer uma organizao bsica quando estiver gerenciando vrios hosts e mquinas virtuais.
Voc pode criar modos de exibio personalizados na exibies Hosts e Mquinas Virtuais para
oferecer monitoramento e acesso fceis ao host. Por exemplo, voc pode criar um grupo de hosts
para cada escritrio da organizao.
Para reservar recursos que sero usados pelos hosts. As reservas de host so teis quando as
mquinas virtuais so colocadas em um host. As reservas de host determinam a CPU, a memria,
o espao em disco, a capacidade de E/S do disco e a capacidade de rede continuamente disponveis
no sistema operacional host.
Para usar a ao de propriedades Grupo de Hosts para o grupo de hosts raiz Todos os Hosts, a fim de
definir reservas de host padro para todos os hosts gerenciados pelo VMM. Se voc deseja usar mais
os recursos em alguns hosts do que em outros, poder definir reservas de host de forma diferente
para cada grupo de hosts.
Para designar hosts nos quais um usurio pode criar e operar suas prprias mquinas virtuais.
Quando um administrador do VMM adiciona funes de usurio de autoatendimento, uma parte
da criao da funo identificar os hosts nos quais os usurios ou grupos de autoatendimento dessa
funo podem criar, operar e gerenciar suas prprias mquinas virtuais. Como prtica recomendada,
voc deve designar um grupo de hosts especfico para essa finalidade.
11-31
Implantao de mquinas virtuais com o VMM

Uma das vantagens do uso do VMM
para gerenciar um ambiente virtualizado
a flexibilidade que ele proporciona para criar e
implantar rapidamente novas mquinas virtuais.
Com o VMM, voc pode criar manualmente uma
nova mquina virtual com novos parmetros de
configurao e um novo disco rgido. Voc pode
implantar a nova mquina virtual a partir de um
dos itens a seguir:
Um arquivo .vhd ou .vhdx existente,

em branco ou pr-configurado
Um modelo de mquina virtual
Uma biblioteca do Virtual Machine Manager
Voc pode criar novas mquinas virtuais convertendo um computador fsico existente ou clonando
uma mquina virtual existente.
Criao de uma nova mquina virtual a partir de um VHD existente

Voc pode criar uma nova mquina virtual com base em um VHD em branco ou em um VHD
pr-configurado que contm um sistema operacional convidado. O VMM fornece dois modelos
de VHD em branco que voc pode usar para criar novos discos:
Disco em branco pequeno
Disco em branco grande
Voc tambm poder usar um VHD em branco quando quiser usar um sistema operacional com um
ambiente Pre-Boot Execution Environment (PXE). Se desejar, voc pode colocar uma imagem .iso em
um DVD-ROM virtual e instalar um sistema operacional. Esta uma maneira eficaz de criar a imagem
de origem de uma mquina virtual, que voc poder usar como um futuro modelo. Para instalar o
sistema operacional nessa mquina virtual, use um arquivo de imagem .iso da biblioteca ou de um
disco local, mapeie uma unidade fsica no computador host ou inicie a instalao do sistema operacional
convidado por meio de uma inicializao de servio de rede.
Se voc tiver uma biblioteca de VHDs que queira usar no ambiente do VMM, crie uma mquina virtual
a partir de um VHD existente. Voc tambm pode selecionar VHDs existentes ao implantar qualquer
sistema operacional a partir do qual o VMM no possa criar um modelo, como um sistema operacional
que no seja baseado no Windows.
11-32
Ao criar uma nova mquina virtual usando um VHD existente, voc basicamente est criando uma nova
configurao de mquina virtual associada ao arquivo VHD. O VMM criar uma cpia do VHD de origem
de forma que voc no tenha que mover nem modificar o VHD original. Nesse cenrio, o VHD de origem
deve atender aos seguintes requisitos:
Deixe a senha do Administrador em branco no VHD original como parte do processo da Ferramenta
de Preparao do Sistema (SysPrep).
Instale as incluses de mquina virtual na mquina virtual.
Use a ferramenta Sysprep.exe para preparar o sistema operacional para a duplicao.
Observao: Quando o VMM 2012 SP1 for liberado, o VMM 2012 oferecer suporte
ao formato de disco rgido virtual .vhdx.
Implantao a partir de um modelo

Voc pode criar uma nova mquina virtual com base em um modelo da biblioteca do Virtual Machine
Manager. O modelo um recurso de biblioteca, que se vincula a uma unidade VHD com um sistema
operacional generalizado, configuraes de hardware e configuraes de sistema operacional convidado.
Voc usa as configuraes de sistema operacional convidado para definir as configuraes de sistema
operacional como nome de computador, senha do administrador local e associao de domnio.
O processo de implantao no modifica o modelo, que voc pode reutilizar vrias vezes. Se voc
estiver criando mquinas virtuais no Portal de Autoatendimento, use um modelo.
Os requisitos a seguir se aplicaro se voc quiser implantar uma nova mquina virtual a partir
de um modelo:
Voc deve instalar um sistema operacional com suporte no VHD.
Voc deve deixar a senha do Administrador em branco no VHD como parte do processo da SysPrep.
No entanto, voc no precisa deixar a senha do Administrador em branco no perfil do sistema
operacional convidado.
Para modelos personalizados, voc deve preparar o sistema operacional no VHD removendo
as informaes de identidade do computador. Para sistemas operacionais Windows, voc pode
preparar o VHD usando a ferramenta Sysprep.
Implantao da biblioteca do Virtual Machine Manager

Se voc implantar uma mquina virtual na biblioteca do Virtual Machine Manager, a mquina virtual
ser removida da biblioteca e colocada no host selecionado. Ao usar esse mtodo, voc deve fornecer
os seguintes detalhes no Assistente para Implantar Mquina Virtual:
O host para implantao. O modelo usado por voc oferece uma lista de hosts possveis
e suas classificaes.
O caminho dos arquivos de mquina virtual no host.
As redes virtuais usadas para a mquina virtual. Ser exibida uma lista de redes virtuais existentes
no host.
11-33
O que so servios e modelos de servio?

Os servios so um novo conceito no VMM.
Antes de implantar uma infraestrutura de
nuvem privada, voc deve compreender
plenamente os servios.
Cenrio de servios tradicional

Os servios normalmente se referem
a aplicativos ou conjuntos de aplicativos
que fornecem servios aos usurios finais.
Por exemplo, voc pode implantar vrios tipos
de servios baseados na Web, mas tambm
pode implementar um servio como o email.
Em um cenrio de computao que no seja
em nuvem, a implantao de qualquer tipo de servio geralmente requer que os usurios,
desenvolvedores e administradores trabalhem em conjunto nas fases de criao, implantao,
teste e manuteno de um servio.
Um servio frequentemente inclui vrios computadores que devem funcionar em conjunto para fornecer
um servio aos usurios finais. Por exemplo, um servio baseado na Web normalmente um aplicativo
implantado em um servidor Web que se conecta a um servidor de banco de dados, que pode ser
hospedado em outro computador, e executa a autenticao em um controlador de domnio do
Active Directory. A habilitao desse aplicativo requer trs funes, e possivelmente trs computadores:
um servidor Web, um servidor de banco de dados e um controlador de domnio. A implantao de um
ambiente de teste para um servio como esse pode ser demorado e consumir muitos recursos. O ideal
que os desenvolvedores trabalham com os administradores de TI para criar um ambiente onde eles
possam implantar e testar o aplicativo Web.
Conceito de um servio em um cenrio de nuvem especfico

Com o conceito de uma nuvem privada, o modo como voc lida com os servios pode alterar
significativamente. Voc pode preparar o ambiente para um servio e deixar os desenvolvedores
implantarem o servio usando um aplicativo de autoatendimento como o System Center 2012
App Controller.
No VMM, um servio um conjunto de uma ou mais mquinas virtuais que voc implanta e gerencia
como uma nica entidade. Voc configura essas mquinas para serem executadas em conjunto e, assim,
fornecer um servio. No Windows Server 2008, os usurios podem implantar novas mquinas virtuais
usando o Portal de Autoatendimento. No VMM, os usurios finais podem implantar novos servios.
Ao implantar um servio, os usurios esto, na verdade, implantando toda a infraestrutura, incluindo
as mquinas virtuais, as conexes de rede e os aplicativos necessrios para que o servio funcione.
11-34
No entanto, voc tambm pode usar os servios para implantar apenas uma mquina virtual sem
nenhuma finalidade especfica. Em vez de implantar mquinas virtuais do modo histrico, agora voc
pode criar um servio que implantar uma mquina virtual, por exemplo, com o Windows Server 2008 R2
e com vrias funes e recursos pr-instalados e associados ao domnio. Isso simplifica o processo
de criao e posterior atualizao de novas mquinas virtuais.
A implantao de um novo servio requer um alto nvel alto de automao e componentes predefinidos,
e suporte ao software de gerenciamento. Isso acontece porque o VMM fornece modelos de servio.
Um modelo de servio um modelo que encapsula tudo o que necessrio para implantar e executar
uma nova instncia de um aplicativo. Da mesma maneira que um usurio de nuvem privada pode criar
novas mquinas virtuais sob demanda, o usurio tambm pode usar os modelos de servio para instalar
e iniciar novos aplicativos sob demanda.
Processo de implantao de um novo servio

Use o procedimento a seguir ao usar os modelos de servio do VMM para implantar um novo servio
ou aplicativo:
1.
O administrador do sistema cria e configura os modelos de servio do VMM usando o

Service Template Designer.
2.
O proprietrio do aplicativo do usurio final, por exemplo, um desenvolvedor que precise implantar
o ambiente do aplicativo, abre o App Controller e solicita uma nova implantao de servio com
base nos modelos de servio disponveis que o desenvolvedor pode acessar. O desenvolvedor
pode implantar o servio em uma nuvem privada no qual um usurio tenha acesso. Como alternativa
para o App Controller, o usurio tambm pode usar o console do VMM.
3.
O servidor Virtual Machine Manager avalia a solicitao enviada. O VMM procura os recursos
disponveis na nuvem privada, calcula a cota de usurio e verifica se a nuvem privada tem recursos
suficientes para a implantao de servio solicitada.
4.
Quando o novo servio criado automaticamente, as mquinas virtuais e os aplicativos

(se houver algum) so implantados no host selecionado pelo VMM.
5.
O proprietrio do aplicativo do usurio controla as mquinas virtuais de servio atravs

do App Controller ou do protocolo RDP.
6.
Se voc precisar de aprovao manual para a criao de recursos, use o System Center 2012 Service Manager para criar fluxos de trabalho para essa finalidade.
Informaes includas no modelo de servio

O modelo de servio inclui informaes sobre as mquinas virtuais implantadas como parte do servio,
quais aplicativos sero instalados nas mquinas virtuais e a configurao de sistema de rede necessria
ao servio (incluindo o uso de um NLB). O modelo de servio pode usar os modelos de mquina virtual
existentes. Embora seja possvel definir o servio sem usar qualquer modelo de mquina virtual existente,
ser mais fcil compilar um modelo se voc j tiver criado modelos. Depois que voc criar um modelo
de servio, configure-o para implantao usando a opo Configurar Implantao.
11-35
Migraes FV (P2V - Physical To Virtual) e VV (V2V - Virtual To Virtual)

Muitas organizaes tm servidores fsicos
que elas no utilizam completamente. O VMM
pode converter computadores fsicos existentes
em mquinas virtuais por meio de um processo
conhecido como converso FV (P2V - Physical
To Virtual). O VMM simplifica a converso FV
(P2V - Physical To Virtual) fornecendo um
assistente com base em tarefa para automatizar
grande parte do processo de converso. Como
o processo FV (P2V - Physical to Virtual) oferece
suporte a scripts, voc pode iniciar converses
FV em larga escala por meio da interface de
linha de comando do Windows PowerShell.
O VMM converte um sistema operacional em execuo no hardware fsico em um sistema operacional em
execuo em um ambiente de mquina virtual do Hyper-V. O VMM fornece um assistente de converso
que automatiza grande parte do processo de converso.
Durante um processo de converso FV (P2V - Physical To Virtual), o VMM gera imagens dos discos rgidos
no computador fsico. Ele cria arquivos .vhd para a nova mquina virtual usando as imagens de disco
como base. Alm disso, ele cria uma configurao de hardware para a mquina virtual similar ou igual
do hardware do computador fsico.
A nova mquina virtual tem a mesma identidade do computador fsico em que se baseia. Por isso, como
prtica recomendada, voc no deveria usar um computador fsico e sua rplica virtual simultaneamente.
Depois que a converso FV (P2V - Physical To Virtual) concluda, voc normalmente desconecta
o computador fsico da rede e o inutiliza.
A converso FV (P2V - Physical To Virtual) feita no modo online ou offline. No modo online,
o sistema operacional de origem executado durante o processo de converso. No modo offline,
o sistema operacional no executado e a converso ocorre atravs do Ambiente de Pr-Instalao
do Windows (Windows PE). Os tpicos posteriores desta lio descrevero detalhadamente esses modos.
Alm de converter computadores fsicos pouco utilizados, o VMM oferece suporte ao gerenciamento,
migrao e s converses de outras mquinas virtuais criadas no VMware. Voc pode converter
essas mquinas virtuais em mquinas virtuais do Hyper-V, coloc-las nos hosts Hyper-V e gerenci-las
no Console do Administrador do Virtual Machine Manager. Alm disso, o VMM e o Hyper-V oferecem
suporte migrao de mquinas virtuais de um host para outro com tempo de inatividade mnimo
ou zero.
O VMM permite a converso das mquinas virtuais do VMware existentes em mquinas virtuais para
a plataforma do Hyper-V. Esse processo conhecido como uma converso VV (V2V - Virtual to Virtual).
Com a converso VV (V2V - Virtual to Virtual), os administradores podem consolidar um ambiente virtual
que esteja com vrias plataformas virtuais em execuo sem mover dados ou recriar mquinas virtuais
do zero.
11-36
O VMM permite copiar as mquinas virtuais do VMware existentes e criar mquinas virtuais do Hyper-V.
Voc pode copiar as mquinas virtuais do VMware localizadas nos hosts de servidor ESX, nas bibliotecas
do Virtual Machine Manager ou nos compartilhamentos do Windows. Embora VV seja chamado de
converso, trata-se de uma operao somente leitura que no exclui nem afeta a mquina virtual original.
Alm disso, o termo converso dedicado somente ao processo de converso das mquinas virtuais
do VMware. O termo migrao usado para mquinas de servidor virtuais.
Durante o processo de converso, o VMM converte os arquivos .vmdk do VMware em arquivos .vhd
e torna o sistema operacional da mquina virtual compatvel com as tecnologias de virtualizao da
Microsoft. A mquina virtual criada pelo assistente corresponde s propriedades da mquina virtual
do VMware, incluindo nome, descrio, memria e atribuies de disco para barramento.
Consideraes sobre a implantao de um servidor de gerenciamento

do VMM altamente disponvel
Agora, o VMM oferece suporte a um servidor
de gerenciamento do VMM altamente disponvel.
Voc pode usar o cluster de failover para obter
alta disponibilidade para o VMM, pois agora
o VMM um aplicativo com suporte a cluster.
No entanto, considere o seguinte antes
de implantar um cluster do VMM.
Antes de instalar um servidor de gerenciamento
do VMM altamente disponvel, verifique se:
Voc instalou e configurou

um cluster de failover que est
executando o Windows Server 2008 R2,
o Windows Server 2008 R2 SP1 ou o Windows Server 2012.
Todos os computadores nos quais voc instala o servidor do Virtual Machine Manager altamente
disponvel esto em conformidade com os requisitos de hardware mnimos e o software de
pr-requisito est instalado em todos os computadores.
Voc criou uma conta de domnio a ser usada pelo servio VMM. Voc deve usar uma conta
de usurio de domnio para um servidor do Virtual Machine Manager altamente disponvel.
Voc est preparado para usar o gerenciamento distribudo de chaves para armazenar as chaves
de criptografia no AD DS. Voc deve usar um gerenciamento distribudo de chaves para um
servidor do Virtual Machine Manager altamente disponvel.
Voc tem um computador com uma verso do SQL Server com suporte instalada e em execuo.
Diferente do VMM 2008 R2, o VMM no instalar um SQL Server Express Edition automaticamente.
Bancos de dados e servidores de biblioteca altamente disponveis

Para obter redundncia completa, voc deve usar um SQL Server altamente disponvel. Instale
um SQL Server altamente disponvel em um cluster de failover separado no cluster de failover em
que voc est instalando o servidor do Virtual Machine Manager altamente disponvel. Da mesma
forma, voc tambm deve usar um servidor de arquivos altamente disponvel para hospedar os
compartilhamentos de biblioteca.
11-37
Portal de Autoatendimento e servidor clusterizado do Virtual Machine Manager

Como prtica recomendada, no instale o Portal de Autoatendimento do Virtual Machine Manager
no mesmo computador do servidor do Virtual Machine Manager altamente disponvel. Se o
Portal de Autoatendimento do Virtual Machine Manager residir no mesmo computador do servidor
do Virtual Machine Manager, recomendvel que voc desinstale o Portal de Autoatendimento do
Virtual Machine Manager para VMM 2008 R2 SP1 antes de atualizar o VMM. recomendvel tambm
que voc instale o Portal de Autoatendimento do Virtual Machine Manager em um servidor Web
altamente disponvel para obter redundncia e NLB.
Gerenciador de Cluster de Failover

Voc no pode executar um failover planejado, por exemplo, para instalar uma atualizao de segurana
ou executar manuteno em um n de cluster, usando o Console do Administrador do Virtual Machine
Manager. Em vez disso, para executar um failover planejado, use o Gerenciador de Cluster de Failover.
Durante um failover planejado, verifique se no h tarefas em execuo no servidor do
Virtual Machine Manager. Qualquer tarefa em execuo durante um failover ser interrompida e no
reiniciar automaticamente. Qualquer conexo com um servidor do Virtual Machine Manager altamente
disponvel no Console do Administrador do Virtual Machine Manager ou no Portal de Autoatendimento
do Virtual Machine Manager tambm ser perdido durante um failover. No entanto, o Console do
Administrador do Virtual Machine Manager poder se reconectar automaticamente ao servidor do Virtual
Machine Manager altamente disponvel aps um failover se o console tiver sido aberto antes do failover.
11-38

com o Hyper-V
Cenrio
A implantao da mquina virtual inicial da A. Datum Corporation no Hyper-V foi bem-sucedida.
Como prxima etapa na implantao, agora a A. Datum est considerando formas de assegurar
que os servios e aplicativos implantados nas mquinas virtuais se tornem altamente disponveis.
Como parte da implementao, a A. Datum tambm est considerando opes para tornar as
mquinas virtuais executadas no Hyper-V altamente disponveis.
Voc responsvel por integrar o Hyper-V com o cluster de failover para assegurar que as mquinas
virtuais implantadas no Hyper-V sejam altamente disponveis. Voc tambm responsvel por planejar
a configurao da mquina virtual e do armazenamento, e por implementar as mquinas virtuais
como servios altamente disponveis no cluster de failover. Alm disso, voc est considerando
algumas outras tcnicas para alta disponibilidade da mquina virtual, como a Rplica do Hyper-V.
Objetivos
Configurar a Rplica do Hyper-V.
Configurar um cluster de failover para o Hyper-V.
Configurar uma mquina virtual altamente disponvel.
Mquinas virtuais
24412B-LON-DC1-B
24412B-LON-SVR1-B
24412B-LON-HOST1
24412B-LON-HOST2
Nome de Usurio
Senha
Pa$$w0rd
Voc deve executar este laboratrio com um parceiro. Para executar este laboratrio, inicialize os
computadores host no Windows Server 2012. Assegura que voc e seu parceiro inicializaram hosts
diferentes (um deve inicializar a mquina virtual 24412B-LON-HOST1 e o outro deve inicializar a mquina
virtual 24412B-LON-HOST2) e entrar como Adatum\Administrador com a senha Pa$$w0rd. Quando
voc tiver inicializado o ambiente do Windows Server 2012, execute as seguintes tarefas de instalao:
1.
No computador host, no Gerenciador do Servidor, clique em Ferramentas e clique em

Gerenciador Hyper-V.
2.
No Gerenciador Hyper-V, inicie as seguintes mquinas virtuais como base no seu host:
o
Para LON-HOST1, inicie a 24412B-LON-DC1-B.
Para LON-HOST2, inicie a 24412B-LON-SVR1-B.
3.
4.

a.
b.
Senha: Pa$$w0rd
11-39
Exerccio 1: Configurao de rplicas do Hyper-V

Cenrio
Antes de comear a implantao do cluster, necessrio avaliar a nova tecnologia no Hyper-V
do Windows Server 2012 para replicar mquinas virtuais entre hosts. Voc deseja montar uma cpia
de uma mquina virtual manualmente em outro host se a cpia ativa (ou o host) apresentar falha.
1.
Inicializao dos computadores host fsicos a partir do VHD.
2.
Importe a mquina virtual LON-CORE no LON-HOST1.
3.
Configurao de uma rplica em dois computadores host.
4.
Configurao da replicao para a mquina virtual LON-CORE.
5.
Validao de um failover planejado no site de rplica.
Tarefa 1: Inicializao dos computadores host fsicos a partir do VHD

1.
Reinicie o computador da sala de aula e, no Gerenciador de Inicializao do Windows,

clique em 24412B-LON-HOST1 ou em 24412B-LON-HOST2.
Observao: Se voc iniciar LON-HOST1, seu parceiro dever iniciar LON-HOST2.
2.
Entre no servidor como Adatum\Administrador com a senha Pa$$w0rd.
3.
Em LON-HOST1, verifique se a mquina virtual 24412B-LON-DC1 est em execuo.
4.
Em LON-HOST2, verifique se a mquina virtual 24412B-LON-SVR1 est em execuo.
Tarefa 2: Importe a mquina virtual LON-CORE no LON-HOST1
Em LON-HOST1, abra o Gerenciador Hyper-V e importe a mquina virtual 24412B-LON-CORE

o
Caminho: E:\Arquivos de Programas\Microsoft Learning\24412\Drives\24412B-LON-CORE
Aceite os valores padro.
Observao: A letra de unidade pode diferir de acordo com o nmero de unidades

do computador host fsico.
Tarefa 3: Configurao de uma rplica em dois computadores host

1.
2.
Em LON-HOST1 e LON-HOST2, configure cada servidor para ser um servidor de Rplica do Hyper-V
o
Permitir replicao a partir de qualquer servidor autenticado
Crie e use a pasta E:\VMReplica como local padro para armazenamento de arquivos de rplica.
Habilite a regra de firewall Ouvinte de HTTP da Rplica do Hyper-V (TCP-In) em ambos os hosts.
11-40
Tarefa 4: Configurao da replicao para a mquina virtual LON-CORE

1.
2.
Em LON-HOST1, habilite a replicao para a mquina virtual 24412B-LON-CORE usando

o
Servidor de rplica: LON-HOST2
Autenticao: Autenticao Kerberos (HTTP)
Configurar histrico de recuperao: Somente o ponto de recuperao mais recente
Iniciar replicao imediatamente
Aguarde a replicao inicial ser concluda e verifique se a mquina virtual 24412B-LON-CORE

ser exibida no console do Gerenciador Hyper-V em LON-HOST2.
Tarefa 5: Validao de um failover planejado no site de rplica

1.
Em LON-HOST2, exiba a integridade da replicao de 24412B-LON-CORE.
2.
Em LON-HOST1, execute o failover planejado em LON-HOST2. Verifique se 24412B-LON-CORE

est em execuo em LON-HOST2.
3.
Em LON-HOST1, remova a replicao de 24412B-LON-CORE.
4.
Em LON-HOST2, desligue 24412B-LON-CORE.
Resultados: Aps concluir este exerccio, voc ter configurado uma Rplica do Hyper-V.
Exerccio 2: Configurao do cluster de failover para o Hyper-V

Cenrio
A A. Datum tem vrias mquinas virtuais hospedando servios importantes que devem estar altamente
disponveis. Como esses servios no tm suporte a cluster, a A. Datum decidiu implementar o cluster
de failover no nvel de host do Hyper-V. Voc pretende usar unidades iSCSI como armazenamento
para essas mquinas virtuais.
1.
Conexo ao destino iSCSI de ambas os computadores host.
2.
Configurao do cluster de failover em dois computadores host.
3.
Configurao dos discos no cluster de failover.
Tarefa 1: Conexo ao destino iSCSI de ambas os computadores host

1.
Em LON-HOST1, inicie o iniciador iSCSI.
2.
Use 172.16.0.21 como endereo que ser usado para descobrir o destino iSCSI e conectar-se a ele.
3.
Em LON-HOST2, inicie o iniciador iSCSI.
4.
Use 172.16.0.21 como endereo que ser usado para descobrir o destino iSCSI e conectar-se a ele.
5.
6.
11-41
Em LON-HOST2, navegue at Gerenciamento de Disco, e inicialize e coloque online todas

as unidades iSCSI usando as seguintes etapas:
o
Formate a primeira unidade e nomeie-a como ClusterDisk.
Formate a segunda unidade e nomeie-a como ClusterVMs.
Formate a terceira unidade e nomeie-a como Quorum.
Em LON-HOST1, navegue at Gerenciamento de Disco e coloque online as trs unidades iSCSI.
Tarefa 2: Configurao do cluster de failover em dois computadores host

1.
Em LON-HOST1 e LON-HOST2, instale o cluster de failover.
2.
Em LON-HOST1, crie um cluster de failover usando as seguintes configuraes:

o
Adicione LON-HOST1 e LON-HOST2
Nomeie o cluster como VMCluster
Atribua o endereo 172.16.0.126
Desmarque a opo para Adicionar todo o armazenamento qualificado ao cluster
Tarefa 3: Configurao dos discos no cluster de failover

1.
Em LON-HOST1, no Gerenciador de Cluster de Failover, adicione os trs discos iSCSI ao cluster.
2.
Verifique se os trs discos iSCSI aparecem disponveis para o armazenamento de cluster.
3.
Adicione o disco ClusterVMs ao Volumes Compartilhados do Cluster.
4.
No n VMCluster.adatum.com, selecione Mais Aes e defina Configurar Quorum do Cluster

para usar configuraes tpicas.
Resultados: Aps concluir este exerccio, voc ter configurado um cluster de failover para o Hyper-V.
Exerccio 3: Configurao de uma mquina virtual altamente disponvel

Cenrio
Aps configurar o cluster de failover do Hyper-V, voc deseja adicionar mquinas virtuais como
recursos altamente disponveis. Alm disso, voc deseja avaliar a migrao ao vivo e a migrao
de armazenamento de teste.
1.
Movimentao do armazenamento da mquina virtual para o destino iSCSI.
2.
Configure a mquina virtual como altamente disponvel.
3.
Execute a migrao ao vivo da mquina virtual.
4.
Execuo da migrao de armazenamento da mquina virtual.
Tarefa 1: Movimentao do armazenamento da mquina virtual para o destino iSCSI

1.
No Gerenciador de Cluster de Failover, verifique se LON-HOST1 o proprietrio do disco

ClusterVMs. Se no for, mova o disco ClusterVMs para LON-HOST1.
2.
Em LON-HOST1, abra uma janela do Explorador de Arquivos e navegue at E:\Arquivos de

Programas\Microsoft Learning\24412\Drives\24412B-LON-CORE\Discos Rgidos Virtuais.
3.
Mova 24412B-LON-CORE.vhd para C:\ClusterStorage\Volume1.
11-42
Tarefa 2: Configure a mquina virtual como altamente disponvel

1.
Em LON-HOST1, no Gerenciador de Cluster de Failover, clique em Funes e inicie o Assistente

de Nova Mquina Virtual.
2.
Configure uma mquina virtual com as seguintes configuraes:
3.
N de cluster: LON-HOST1
Nome do computador: TestClusterVM
Armazene o arquivo em C:\ClusterStorage\Volume1
RAM de TestClusterVM: 1536 MB
Conecte a mquina ao disco rgido virtual existente 24412B-LON-CORE.vhd localizado

em C:\ClusterStorage\Volume1
No n Funes, inicie a mquina virtual.
Tarefa 3: Execute a migrao ao vivo da mquina virtual.

1.
Em LON-HOST1, no Gerenciador de Cluster de Failover, inicie o failover da Migrao ao Vivo

de TestClusterVM de LON-HOST1 para LON-HOST2.
2.
Conecte-se a TestClusterVM e assegure que voc poder operar a mquina virtual enquanto
estiver migrando para outro host.
Tarefa 4: Execuo da migrao de armazenamento da mquina virtual

1.
Em LON-HOST2, abra o Gerenciador Hyper-V.
2.
Mova 24412B-LON-SVR1-B do local atual para C:\LON-SVR1.
3.
Determine se a mquina est operacional durante o processo de movimentao.
4.
Quando a migrao for concluda, desligue todas as mquinas virtuais em execuo.
Resultados: Aps concluir este exerccio, voc ter configurado uma mquina virtual altamente
disponvel.

1.
Reinicie LON-HOST1.
2.
Quando solicitado com o menu de inicializao, selecione Windows Server 2008 R2

e pressione Enter.
3.
Entre no computador host conforme direcionado pelo instrutor.
4.
Repita as etapas de 1 a 3 em LON-HOST2.
11-43

Prtica recomendada:
Desenvolva as configuraes padro antes de implementar mquinas virtuais altamente disponveis.

Os computadores host devem ser configurados da forma mais idntica possvel. Para garantir que
voc tenha uma plataforma Hyper-V consistente, configure nomes de rede padro e use padres
de nomenclatura consistentes para volumes CSV.
Implemente o VMM. O VMM fornece uma camada de gerenciamento sobre o Hyper-V e

o Gerenciamento de Cluster de Failover que pode impedi-lo de cometer erros ao gerenciar
mquinas virtuais altamente disponveis. Por exemplo, ele impedir voc de criar mquinas
virtuais em um armazenamento que no possa ser acessado em todos os ns do cluster.

Problema comum
O failover de mquina virtual apresenta falha aps a

implementao do CSV e a migrao do armazenamento
compartilhado para o CSV
Uma mquina virtual faz failover para outro n no cluster

de host, mas perde toda a conectividade de rede.
Quatro horas aps reiniciar um host do Hyper-V que

membro de um cluster de host, ainda no h mquinas
virtuais em execuo no host.
Perguntas de reviso
Pergunta: No Windows Server 2008 R2, voc precisa implementar o CSV para fornecer
alta disponibilidade para mquinas virtuais no VMM?
12-1
Mdulo 12
Implementao da recuperao de desastres
Contedo:
Viso geral do mdulo
12-1
Lio 1: Viso geral da recuperao de desastres
12-2
Lio 2: Implementao do backup do Windows Server
12-8
Lio 3: Implementao da recuperao de dados e de servidor
12-19
Laboratrio: Implementao do backup e restaurao do Windows Server
12-24
12-29
Avaliao do curso
12-30
Viso geral do mdulo

Organizaes sempre so vulnerveis a perder alguns ou todos os seus dados, por razes como excluso
no intencional, sistema de arquivos corrompido, falhas de hardware, usurios mal-intencionados
e desastres naturais. Por isso, as organizaes devem ter estratgias de recuperao bem definidas
e testadas que ajudaro a colocar seus servidores e dados em um estado ntegro e operacional
novamente e o mais rpido possvel.
Neste mdulo, voc saber como identificar riscos de segurana para sua organizao. Voc tambm
conhecer a recuperao de desastres e os requisitos de recuperao de desastres. Voc tambm
aprender a planejar o backup na sua organizao e quais etapas poder executar para recuperar dados.
Objetivos
Descrever os conceitos de recuperao de desastres.
Implementar o recurso de Backup do Windows Server no Windows Server 2012.
Implementar a recuperao de servidor e dados.
12-2 Implementao da recuperao de desastres
Lio 1
Viso geral da recuperao de desastres

A recuperao de desastres uma metodologia que descreve as etapas que voc precisa executar aps
a ocorrncia de um desastre, colocar dados, servios e servidores novamente em um estado operacional.
Um plano de recuperao de desastres efetivo aborda as necessidades da organizao sem fornecer um
nvel desnecessrio de cobertura. Embora a proteo absoluta possa parecer desejvel, improvvel
que seja economicamente vivel. Ao criar um plano de recuperao de desastres, voc precisa equilibrar
o custo para a organizao de um desastre especfico com o custo para a organizao da proteo contra
esse desastre.
Objetivos da lio
Identificar requisitos de recuperao de desastres.
Descrever contratos em nvel de servio.
Descrever estratgias de recuperao de desastres de empresa.
Descrever estratgias de atenuao de desastres.
Descrever as prticas recomendadas para implementar uma recuperao de desastres.
Identificar requisitos de recuperao de desastres

Antes de desenvolver uma estratgia de
recuperao de desastres, as organizaes
devem identificar os requisitos de recuperao
de desastres para assegurar que provero
fornecer proteo apropriada para recursos
crticos.
A lista a seguir uma lista de alto nvel de etapas
que voc pode usar para identificar requisitos
de recuperao de desastres:
1.
Defina os recursos crticos da organizao.

Esses recursos incluem dados, servios e os
servidores nos quais os dados e os servios
so executados.
2.
Identifique os riscos associados a esses recursos crticos. Por exemplo, os dados podem
ser acidentalmente ou intencionalmente excludos e um disco rgido ou controlador de
armazenamento no qual esto armazenados pode falhar. Alm disso, os servios que usam
dados crticos podem falhar por muitas razes (como problemas de rede) e os servidores
podem falhar por causa de problemas de hardware. Interrupes de energia importantes
tambm podem causar o desligamento de sites inteiros.
3.
Identifique a hora necessria para executar a recuperao. Com base em seus requisitos
comerciais, as organizaes devem decidir quanto tempo aceitvel para recuperar
recursos crticos. Os cenrios podem variar de minutos a horas ou at mesmo um dia.
4.
Desenvolva uma estratgia de recuperao. Com base nas etapas anteriores, as organizaes
definiro um contrato de nvel de servio que incluir informaes como nveis de servio e horas
de atendimento. As organizaes devem desenvolver uma estratgia de recuperao de desastres
que as ajudar a minimizar os riscos e, ao mesmo tempo, recuperar seus recursos crticos dentro
do tempo mnimo aceitvel para seus requisitos comerciais.
12-3
Observao: A organizao ter requisitos de recuperao de desastres diferentes

com base nos seus requisitos comerciais. Os requisitos de recuperao de desastres no
devem ser estticos, mas devem ser avaliados e atualizados regularmente, por exemplo,
uma vez em alguns poucos meses. Tambm importante que os administradores testem
as estratgias de recuperao de desastres regularmente. Os testes devem ser executados
em um ambiente no de produo isolado usando uma cpia dos dados de produo.
O que so contratos de nvel de servio?

Um contrato de nvel de servio (SLA) um
documento que descreve as responsabilidades
do departamento de TI ou provedor de servio
de TI, com relao a um conjunto de objetivos
especficos. Em termos de SLAs de proteo de
dados, esses contratos geralmente especificam
com preciso quais partes da infraestrutura de
TI e dados sero protegidas e o quo rpido
eles retornaro ao servio depois de uma falha.
Em algumas organizaes, so formalizados
SLAs e o desempenho do departamento de TI
medido em relao aos objetivos informados
no SLA. Essas mtricas fazem parte da avaliao de desempenho do departamento de TI e tm influncia
direta em itens como oramentos e salrios. Para servios gerenciados ou provedores na nuvem, SLAs so
crticos para fins de cobrana. Em outras organizaes, SLAs so diretrizes e menos formais. A chave para
desenvolver um SLA que ele deve ser realista e vivel, em vez de um padro irreal e inatingvel.
Alguns dos elementos de um SLA incluem:
Horas de operao. As Horas de operao definem por quanto tempo os dados e os servios esto
disponveis para os usurios e quanto tempo de inatividade planejado haver devido manuteno
do sistema.
Disponibilidade de servio. A Disponibilidade de servio definida como um percentual de

tempo por ano que os dados e os servios estaro disponveis para os usurios. Por exemplo,
uma disponibilidade de servio de 99,9% por ano significa que os dados e os servios tero tempo
de inatividade no planejado no superior a 0,1% por ano ou 8,75 horas por ano em 24 horas por
dia, sete dias por semana base.
Objetivo de ponto de recuperao (RPO). Um RPO define um limite na quantidade de dados

que pode ser perdida devido falha, medido como uma unidade de tempo. Por exemplo, se uma
organizao definir um RPO de seis horas, ser necessrio fazer um backup a cada seis horas ou
criar uma cpia de replicao em locais diferentes em intervalos de seis horas. No caso de uma
falha, ser necessrio voltar para o backup mais recente que, no pior caso de cenrio, assumindo
que a falha ocorreu logo antes (ou durante) o backup seguinte, ser seis horas atrs.
Voc pode configurar o software de backup para fazer backups a cada hora, oferecendo um RPO
terico de 60 minutos. Ao calcular o RPO, tambm importante levar em conta o tempo necessrio
para executar o backup. Por exemplo, suponha que so necessrios 15 minutos para executar
um backup e voc faz backup a cada hora. Se uma falha ocorrer durante o processo de backup,
seu melhor RPO possvel ser 1 hora e 15 minutos. Um RPO realista sempre tem que equilibrar
o tempo de recuperao desejado com as realidades da infraestrutura de rede. Voc no deveria
desejar um RPO de duas horas quando um backup na verdade leva trs horas para ser concludo.
O RPO tambm depende da tecnologia de software de backup. Por exemplo, quando voc usar
o recurso de instantneo no Backup do Windows Server ou se usar outro software de backup
que utiliza o Servio de Cpias de Sombra de Volume (VSS), estar fazendo backup do ponto
no tempo em que o backup foi iniciado.
Objetivo de tempo de recuperao (RTO). Um RTO a quantidade de tempo necessrio para se

recuperar de falha. O RTO variar de acordo com o tipo de falha. A perda de uma placa me em
um servidor crtico ter um RTO diferente da perda de um disco em um servidor crtico, pois um
desses componentes demora significativamente mais para ser substitudo do que o outro.
Objetivos de reteno. Reteno uma medida do perodo necessrio para armazenar dados
de backup. Por exemplo, talvez seja necessrio recuperar dados rapidamente de um ms atrs,
mas armazenar alguns dados durante vrios anos. A velocidade com a qual voc concorda
em recuperar dados em seu SLA depender da idade dos dados, com alguns dados sendo
rapidamente recuperveis e outros que precisam ser recuperados de arquivos mortos.
Desempenho do sistema. Embora no diretamente relacionado recuperao de desastres, o

desempenho de sistema tambm um componente importante de SLAs, pois aplicativos que
so includos em um SLA devem estar disponveis e tambm devem ter tempos de resposta
aceitveis s solicitaes de usurios. Se o desempenho de sistema for lento, os requisitos
comerciais no sero atendidos.
Observao: Cada SLA de proteo de dados da organizao depende dos componentes

que so importantes para a organizao.
12-5
Viso geral das estratgias de recuperao de desastres de empresa

Ao planejar o backup para sua empresa, voc
precisa desenvolver estratgias para recuperar
dados, servios, servidores e sites. Voc tambm
precisa fazer provises para o backup fora
do local.
Estratgias de recuperao de desastres

Os dados constituem a categoria recuperada
mais comumente em um ambiente de empresa.
Isso ocorre porque mais provvel que os
usurios excluiro arquivos acidentalmente,
do que o hardware de servidor falhar ou que
os aplicativos causem corrupo de dados.
Portanto, ao desenvolver uma estratgia de recuperao de desastres empresarial, leve em conta
desastres pequenos, como excluso de dados, alm de desastres grandes, como falha de servidor
ou de site.
Ao considerar estratgias de recuperao de dados, o backup no a nica tecnologia para recuperao
de dados. Voc pode abordar muitos cenrios de recuperao de arquivo e pasta implementando verses
anteriores de funcionalidade de arquivo em compartilhamentos de arquivos. Voc tambm pode replicar
dados em locais fsicos diferentes ou para uma nuvem pblica ou privada.
Estratgias de recuperao de servio

A funcionalidade da rede depende da disponibilidade de certos servios de rede crticos. Embora redes
bem projetadas criem redundncia em servios essenciais, como Sistema de Nomes de Domnio (DAS)
e Servios de Domnio do Active Directory (AD DS), at mesmo esses servios podem ter problemas,
por exemplo, quando uma falha grande replicada e requer uma restaurao de backup. Alm disso,
uma soluo de backup empresarial deve assegurar que servios como o Protocolo DHCP e Servios
de Certificados do Active Directory (AD CS) e recursos importantes como compartilhamentos
de arquivos podem ser restaurados de uma maneira oportuna e atualizada.
Estratgias de recuperao completa de servidor

O desenvolvendo de uma estratgia de recuperao completa de servidor envolve determinar quais
servidores voc precisa poder recuperar e o RPO e RTO para servidores crticos. Suponha que voc
tem um site com dois computadores que funcionam como controladores de domnio. Ao desenvolver
sua estratgia de backup, voc deve querer que ambos os servidores sejam capazes de recuperao
completa com um RPO de 15 minutos? Alternativamente, s necessrio que um servidor seja
recuperado rapidamente se falhar, pois qualquer servidor poder fornecer o mesmo servio
de rede e assegurar a continuidade comercial?
Ao desenvolver o componente de recuperao completa de servidor do plano de backup empresarial
da sua organizao, determine quais servidores so necessrios para assegurar a continuidade comercial
e garantir que o backup seja realizado regularmente.
Estratgias de recuperao de site

A maioria das organizaes maiores tm sites de filial. Embora talvez seja desejvel fazer backup de
todos os computadores nesses locais, isso pode no ser economicamente vivel. O desenvolvimento
de uma estratgia de recuperao de site envolve determinar quais dados, servios e servidores em
um site especfico devem ser recuperveis para assegurar a continuidade comercial.
Estratgias de backup fora do local

Muitas organizaes que no armazenam backups fora do local no se recuperam de um desastre de site
primrio. Se o site da matriz de sua organizao sofrer um incndio, estiver sujeito a uma inundao rara,
um terremoto ou um tornado, no importar quais estratgias de backups existem no local se todos esses
backups estiverem armazenados no local que foi destrudo pelo desastre.
Uma estratgia de proteo de dados empresarial abrangente envolve mover os dados de backup para
um local fora do site seguro de forma que voc possa recuper-lo, no importa que tipo de desastre
ocorra. Isso no precisa acontecer diariamente. O RPO para recuperao no local externocom
frequncia denominado local de recuperao de desastresgeralmente diferente do RPO no
local primrio.
Estratgias de atenuao de desastres

No importa quo bem preparadas as
organizaes esto, elas no podem impedir a
ocorrncia de desastres. Portanto, as organizaes
tambm tm que desenvolver estratgias de
atenuao que minimizaro o impacto de uma
perda inesperada de dados, servidor, servio ou
sites. Para preparar estratgias de atenuao, as
organizaes devem criar avaliaes de risco que
analisam todo os possveis cenrios de desastre
e documentar como atenuar cada um desses
cenrios.
A tabela a seguir lista alguns dos riscos associadas
perda de dados ou de servios e as estratgias de atenuao apropriadas.
Risco de desastre
Estratgia de atenuao
A mdia na qual uma cpia dos

dados de backup est localizada
corrompida.
Tenha duas cpias de seus dados de backup pelo menos

e valide seus backups regularmente.
Um administrador excluiu uma

UO (unidade organizacional) que
contm muitos objetos de usurio
e computador acidentalmente.
Proteja as UOs contra excluso acidental, especialmente

aps as migraes.
Um servidor de arquivos em uma

filial onde arquivos importantes
esto localizados falhou.
Use a Replicao DFS para replicar arquivos de filiais para

data centers centrais.
A infraestrutura de virtualizao na
qual os servidores comerciais esto
localizados est indisponvel.
Evite implantar todos os servidores crticos, como

controladores de domnio, na mesma infraestrutura virtual.
Uma interrupo importante

em um data center ocorreu.
Implante um data center secundrio que conter rplicas da

maioria dos servidores crticos em seu data center primrio.
12-7
Prticas recomendadas para implementar uma recuperao de desastres

Ao implementar uma estratgia de recuperao
de desastres, as organizaes devem seguir
estas prticas recomendadas:
Executar um plano de avaliao de risco.

Isso o ajudar a identificar todos os riscos
associados disponibilidade dos dados da sua
organizao, servidores, servios e sites.
Discuta os riscos que voc avaliou com seus

gerentes comerciais. Decida em conjunto
quais recursos devem ser protegidos com
o plano de recuperao de desastres e
quais recursos devem ser protegidos com
a atenuao de desastre e em que nvel. Quanto mais altos os requisitos para recuperao
de desastres forem, mais caros eles sero. Voc tambm deseja ter um plano de recuperao
de desastres de baixo nvel para recursos que so protegidos com a atenuao de desastre.
Verifique se cada organizao tem seu prprio plano de recuperao de desastres.
Documente com detalhes todas as etapas que devem ser executadas em um cenrio de desastre.
Teste seu plano de recuperao de desastres regularmente, em um ambiente no de produo

isolado.
Avalie seu plano de recuperao de desastres regularmente e atualize-o com base na sua avaliao.
Lio 2
Implementao do backup do Windows Server

Para proteger dados crticos, toda organizao deve executar backups regulares. Ter uma estratgia
de backup bem definida e testada assegurar que as empresas possam restaurar dados se ocorrerem
falhas inesperadas ou perda de dados. Esta lio descreve o recurso de Backup do Windows Server
no Windows Server 2012 e o Windows Azure Backup Online para Windows Server 2012.
Objetivos da lio
Descrever dados e informaes de servio que precisam ser includos no backup em um ambiente
do Windows Server.
Descrever os tipos de backup.
Descrever as tecnologias de backup.
Explicar como planejar a capacidade de backup.
Explicar como planejar a segurana de backup.
Descrever o Backup do Windows Server.
Explicar como configurar um backup agendado usando o Backup do Windows Server.
Descrever o Windows Azure Online Backup.
Descrever as consideraes para uma soluo de backup empresarial.
Resumir os recursos disponveis com o Microsoft System Center 2012 Data Protection Manager.
O que precisa ser includo no backup?

Ao planejar backups por sua organizao,
assegure que voc proteja recursos que so
crticos, como:
Recursos crticos
Verificao de backup
Segurana de backup
Requisitos de conformidade e regulatrios
12-9
Determinar os recursos crticos a serem includos no backup

Em um cenrio ideal, voc far backup de tudo e restaurar dados instantaneamente da maneira como
existiam em um determinado ponto no tempo de qualquer ponto nos ltimos anos. Na realidade, tal uma
estratgia de backup geraria um custo caro de propriedade. Portanto, a primeira etapa no planejamento
de backup na empresa determinar o que exatamente precisa ser includo no backup.
Por exemplo, voc deve fazer backup de todos os controladores de domnio no domnio, considerando
que as informaes do Active Directory sero replicadas novamente em um controlador de domnio
substituto assim que for promovido? Ser necessrio fazer backup de todo servidor de arquivos em todos
os compartilhamentos de arquivos se todos os arquivos forem replicados para vrios servidores por meio
de um sistema de arquivos distribudo?
Voc tambm precisa distinguir entre razes tcnicas e razes regulatrias para fazer backup dos dados.
Devido a requisitos legais, talvez seja necessrio fornecer sua empresa dados crticos de negcio dos
ltimos dez anos ou at mais tempo.
Para determinar o que incluir no backup, considere o seguinte:
Se os dados s forem armazenados em um local, verifique o que est no backup.
Se os dados forem replicados, talvez no seja necessrio fazer backup de cada rplica. Porm, voc
deve fazer backup em pelo menos um local para assegurar que o backup possa ser restaurado.
O servidor ou dados so um componente de misso crtica?
Se esse servidor ou disco falharem ou se esses dados forem corrompidos, quais etapas precisariam
ser executadas para recuper-lo?
Muitas organizaes asseguram a disponibilidade de servios crticos e dados por redundncia.

Por exemplo, o Microsoft Exchange Server 2010 fornece replicao contnua de bancos de dados de
caixa de correio a outros servidores por uma tecnologia chamada Grupos de Disponibilidade de Banco
de dados (DAGs). Embora os DAGs no signifiquem que uma organizao no deva fazer backup de seus
servidores de Caixa de Correio do Exchange Server 2010, isso no altera o modo como uma organizao
deve pensar sobre o backup de seus servidores de Caixas de Correio ou a centralizao de suas estratgias
de backup.
Verificao de seus backups

Executar um backup e assegurar que o backup contenha tudo de que voc precisa so duas tarefas
diferentes. Voc precisa ter um mtodo para verificar se cada backup foi concludo com xito. Voc
tambm precisa saber quando os backups falharam. No mnimo, isso significar inspecionar os logs
em cada servidor para determinar se uma falha ocorreu. Se voc configurou os backups para ocorrer
em cada servidor a cada seis horas, com que frequncia deve verificar os logs? Uma soluo melhor
empregar um mecanismo de alerta para avis-lo caso um backup falhe, como o que est disponvel no
System Center 2012 - Operations Manager. O ponto evitar descobrir que seus backups para um servidor
especfico falharam apenas quando voc precisar desses backups para executar uma recuperao.
Um modo de verificar backups executar testes regulares dos procedimentos de recuperao nos quais
voc simula uma falha especfica. Isso lhe permite verificar a integridade dos dados que voc est usando
para executar uma recuperao e se os procedimentos de recuperao em vigor efetivamente resolvem a
falha. melhor descobrir que voc precisa adicionar etapas a seu procedimento de recuperao durante
um teste, do que durante uma falha real.
12-10
Confirmao de que os backups so seguros

Por definio, um conjunto bom de backups contm todos os dados crticos de sua organizao.
Esses dados precisam ser protegidos contra o acesso no autorizado. Embora os dados possam ser
protegidos por permisses e controles de acesso enquanto esto hospedados em servidores em um
ambiente de produo, qualquer um que tenha acesso mdia que hospeda esses dados de backup pode
restaur-los. Por exemplo, alguns produtos, como o Backup do Windows Server, no permitem que os
administradores criptografem dados de backup. Isso significa que a segurana fsica o nico modo pelo
qual voc pode assegurar que dados crticos no terminem nas mos de usurios no autorizados.
Ao desenvolver uma estratgia de backup empresarial, assegure que os dados de backup sejam
armazenados em um local seguro.
Voc tambm pode considerar o uso de software de backup que lhe permite dividir as funes de backup
e restaurao de forma que os usurios que tm permisses para fazer backup de dados no tenham
permisses para restaurar esses dados e usurios que tm permisses para restaurar dados no tenham
permisses a para fazer seu backup.
Verificar se a conformidade e as responsabilidades de regulamento so atendidas

Os administradores de sistemas devem estar cientes de que as responsabilidades regulatrias e de
conformidade da organizao esto relacionadas ao arquivamento de dados. Por exemplo, algumas
jurisdies requerem que dados de mensagens de email relevantes para a empresa sejam mantidos
por um perodo de at sete anos. Infelizmente, os requisitos regulatrios variam de pas a pas e at
mesmo de estado para estado. Ao desenvolver a estratgia de proteo de dados de sua organizao,
voc deve agendar uma reunio com a equipe jurdica da sua organizao para determinar com
preciso quais dados precisam ser armazenados e por quanto tempo.
Tipos de backup
No Windows Server 2012, voc pode executar
os tipos seguintes de backups:
Backup completo. Um backup completo

uma rplica no nvel de bloco de todos os
blocos nos volumes de servidor. Em vez de
copiar arquivos e pastas a mdia de backup,
os blocos subjacentes so copiados para
a mdia de backup.
Backup incremental. Um backup incremental

uma cpia apenas dos blocos que foram
alterados desde o ltimo backup completo ou
incremental. Durante um backup incremental,
esses blocos so copiados para a mdia de backup. Quando esse processo concludo, os blocos
so marcados como backup. Durante a recuperao, o conjunto original de blocos restaurado.
Em seguida, cada conjunto de blocos incrementais aplicado, colocando os dados recuperados
novamente no estado apropriado de uma maneira consistente.
12-11
Tecnologias de backup
A maioria dos produtos de backup em uso hoje
utiliza a infraestrutura de VSS que est presente
no Windows Server 2012. Alguns aplicativos
mais antigos, porm, usam backup de streaming.
Talvez seja necessrio oferecer suporte a esses
aplicativos mais antigos em ambientes
heterogneos e complexos.
Um dos desafios de executar backups
assegurar a consistncia dos dados cujo backup
voc est realizando. Os backups no ocorrem
imediatamente; eles podem levar segundos,
minutos ou horas. Infelizmente, os servidores no
so estticos e o estado de um servidor no comeo de um backup talvez no seja o mesmo estado em
que o servidor estava quando o backup foi concludo. Se voc no considerar a consistncia, isso poder
causar problemas durante a restaurao porque a configurao do servidor poder ter mudado durante
o backup.
VSS
O VSSuma tecnologia que a Microsoft incluiu no Windows Server 2003 R2 e que est presente em
todos os sistemas operacionais de servidor mais novosresolve o problema de consistncia no nvel
do bloco de disco criando o que conhecido como uma cpia de sombra. Uma cpia de sombra uma
coleo de blocos em um volume que congelado em um ponto especfico no tempo. Ainda podem ser
feitas alteraes no disco, mas quando um backup ocorre, a coleo de blocos congelados includa no
backup, o que significa que qualquer alterao que possa ter ocorrido desde o congelamento no entra
no backup.
A criao de uma cpia de sombra diz ao sistema operacional para primeiro colocar todos os arquivos,
como bancos de dados DHCP e arquivos de banco de dados do Active Directory, em um estado
consistente por um momento. Em seguida, o estado atual do sistema de arquivos registrado nesse
ponto especfico no tempo. Depois que o VSS cria a cpia de sombra, todos os acessos de gravao
que substituiriam dados armazenam os blocos de dados anteriores primeiro. Portanto, uma cpia de
sombra pequena no incio e cresce com o tempo, medida que os dados so alterados. Por padro,
o sistema operacional configurado para reservar 12% do volume para dados de VSS e o VSS exclui
automaticamente instantneos mais antigos quando esse limite alcanado. Voc pode alterar esse valor
padro e pode alterar o local padro dos dados de VSS. Isso assegura que o backup tem um instantneo
do sistema em um estado consistente, no importa quanto tempo na verdade leva para gravar os dados
de backup no dispositivo de armazenamento de backup.
Backup de streaming
O backup de streaming usado frequentemente por aplicativos mais antigos que no usam o VSS. Voc
faz backup de aplicativos sem reconhecimento de VSS usando um mtodo conhecido como backup de
streaming. Em comparao com o VSS onde o sistema operacional assegura que os dados sejam mantidos
em um estado consistente em um ponto no tempo atual, quando voc usa o backup de streaming, o
aplicativo ou o aplicativo de proteo de dados responsvel por assegurar que os dados permaneam
em um estado consistente. Alm disso, aps a concluso do backup de streaming, alguns arquivos tm
o estado que tinham no incio do backup, enquanto outros arquivos tm o estado de trmino da janela
de backup.
12-12
Planejamento da capacidade de backup

Quando voc desenvolver uma estratgia
de recuperao empresarial, ser necessrio
determinar quanta capacidade de
armazenamento sua organizao exigir
para backups. Os fatores seguintes afetam
a quantidade de espao necessria
para armazenar dados de backup:
Os requisitos de espao para um backup

completo
Os requisitos de espao para um backup

incremental
O tempo necessrio para o backup
A frequncia de backup
A reteno de backup
Requisitos de backup completo

Para calcular o espao necessrio para um backup completo, determine de quanto espao de todos
os volumes voc precisar para o backup. Se o servidor tiver uma unidade dedicada para backups,
voc no executar um backup nessa unidade.
Com produtos que executam backups baseados em imagem, como o Backup do Windows Server,
esses dados no so compactados. Em alguns tipos de servidores, especialmente servidores de arquivos,
a quantidade de espao necessria para um backup completo cresce com o passar do tempo. Voc pode
reduzir essa tendncia usando polticas de expirao de arquivo como as localizadas no Gerenciador
de Recursos de Servidor de Arquivos (FSRM).
Requisitos de backup incremental

Um backup incremental no Backup do Windows Server armazena todos os blocos do disco rgido
que foram alterados desde o ltimo backup completo ou incremental. Backups incrementais so
substancialmente mais rpidos do que backups completos e requerem menos espao. A desvantagem
de backups incrementais que eles podem exigir mais tempo de recuperao.
O tempo necessrio para o backup

A quantidade de tempo necessrio para gravar dados do servidor cujo backup est sendo realizado
no dispositivo de armazenamento de backup pode ter um impacto no RPO projetado, pois no era
recomendado comear uma nova operao de backup antes da concluso da atual.
Frequncia de backup
A Frequncia de backup uma medida da frequncia de com que os backups so realizados. Com
backups de nvel de bloco incrementais, nenhuma diferena significativa existir entre a quantidade de
dados gravada durante a soma de quatro sesses de 30 minutos e uma sesso incremental de 2 horas no
mesmo servidor. Isso ocorre porque durante as duas horas, o mesmo nmero de blocos ter sido alterado
no servidor que nas quatro sesses de 30 minutos. Porm, as quatro sesses de 30 minutos o dividiram
em partes menores. Quando backups ocorrem com maior frequncia, eles reduzem o tempo necessrio
para executar o backup dividindo-o em partes menores. O total geral ser o mesmo.
12-13
Reteno de backup
Ao tentar determinar a capacidade de com que necessria, voc deve determinar precisamente quanto
tempo precisa reter os dados de backup. Por exemplo, se voc precisar ser capaz de recuperar a qualquer
ponto de backup nos ltimos 28 dias e se tiver pontos de recuperao gerados a cada hora, precisar de
mais espao que se tiver pontos de recuperao gerados uma vez por dia e somente ter que restaurar
dados dos ltimos 14 dias.
Planejamento da segurana de backup

Durante o planejamento da sua segurana
de backup, considere o seguinte:
Os backups contm todos os dados

organizacionais. Por natureza, os backups
contero todos os dados necessrios para
assegurar a capacidade contnua da sua
organizao de funcionar no caso de
falha. Como provvel que esses dados
contenham informaes confidenciais,
voc deve proteg-los com o mesmo nvel
de diligncia com que eles so protegidos
quando hospedados no servidor.
O acesso mdia de backup significa acesso a todos os dados. Se vivel, use uma separao de
funo administrativa para assegurar que os usurios que fazem backup dos dados no sejam os
usurios que podem restaur-los. Em ambientes de alta segurana, assegure que as operaes de
backup e restaurao sejam devidamente auditadas para que voc possa acompanhar os backups
e a atividade de funo de restaurao.
O Backup do Windows Server no criptografa backups. O Backup do Windows Server grava

backups no formato VHD. Isso significa que qualquer um que tem acesso ao Windows 8 ou ao
Windows Server 2012 pode montar esses backups como volumes e extrair dados deles. Um ataque
ainda mais sofisticado pode incluir a inicializao no VHD de backup para representar o sistema
de backup na rede organizacional.
Mantenha a mdia de backup em um local seguro. No mnimo, os backups devem ser mantidos
bloqueados em um local seguro. Se sua organizao estiver fazendo backup de unidades de disco
que so anexadas a servidores atravs de cabo USB, assegure que essas unidades de disco estejam
bloqueadas no local, at mesmo se estiverem localizadas em uma sala de servidor segura e at
mesmo se a sala de servidor da sua organizao tiver uma cmera de segurana.
12-14
O que Backup do Windows Server?

O recurso de Backup do Windows Server no
Windows Server 2012 consiste em um snap-in
de Console de Gerenciamento Microsoft (MMC),
no comando wbadmin e em comandos do
Windows PowerShell. Voc pode usar assistentes
no recurso de Backup do Windows Server para
orient-lo durante a execuo de backups
e operaes de recuperao.
Voc pode usar o Backup do Windows Server
para fazer backup do seguinte:
Servidor completo (todos os volumes).
Volumes selecionados.
Selecione itens especficos para backup, como pastas especficas ou o estado do sistema.
Alm disso, o Backup do Windows Server 2012 permite a voc:
Executar uma restaurao bare-metal. Um backup bare-metal contm pelo menos os volumes crticos
e permite restaurar sem instalar um sistema operacional primeiro. Voc faz isso usando a mdia do
produto em um DVD ou a chave USB e o Ambiente de Recuperao do Windows (Windows RE).
Voc pode usar esse tipo de backup junto com o Windows RE para se recuperar de uma falha de
disco rgido ou se tiver que recuperar a imagem de computador inteira em um novo hardware.
Usar o estado do sistema. O backup contm todas as informaes para reverter um servidor a
um ponto especfico no tempo. Porm, voc precisa de um sistema operacional instalado antes
de recuperar o estado do sistema.
Recuperar arquivos e pastas individuais ou volumes. A opo Arquivos e pastas individuais permite
a voc optar por fazer backup de e restaurar arquivos especficos, pastas ou volumes ou voc pode
adicionar arquivos especficos, pastas ou volumes ao backup quando usar uma opo como volume
crtico ou estado do sistema.
Excluir os arquivos ou tipos de arquivos selecionados. Por exemplo, voc pode excluir arquivos
temporrios do backup.
Selecionar de mais locais de armazenamento. Voc pode armazenar backups em compartilhamentos

remotos ou volumes no dedicados.
Usar o Windows Azure Online Backup. O Windows Azure Backup Online uma soluo de backup
baseada na nuvem para Windows Server 2012 que permite que arquivos e pastas sejam includos
no backup e recuperados da nuvem pblica ou privada para fornecer backup fora do local.
Se houver desastres, como falhas de disco rgido, voc poder executar a recuperao do sistema
usando um backup completo de servidor e Windows RE; isso restaurar seu sistema completo no
novo disco rgido.
12-15
Demonstrao: Configurao de um backup agendado

Nesta demonstrao, voc ver como configurar o Windows Server 2012 para executar um backup
agendado de pastas especficas que inclui um filtro para excluir tipos de arquivos especficos.
1.
Em LON-SVR1, inicie o Backup do Windows Server.
2.
Configure o agendamento de backup com as seguintes opes:

o
Configurao de Backup: Personalizada
Selecionar Itens para Backup: C:\HR Data
Adicionar Excluso: C:\HR Data\Old HR file.txt
Horrio de Backup: Uma vez por dia, 1:00
Tipo de Destino: Fazer backup em uma pasta de rede compartilhada
Pasta Compartilhada Remota: \\LON-DC1\Backup:
Registrar Agendamento de Backup: Nome de Usurio: Administrador
Senha: Pa$$w0rd
3.
Execute o Assistente de Backup nico usando as opes de backup agendadas.
4.
Feche o Backup do Windows Server.
O que o Windows Azure Online Backup?

O Windows Azure Backup Online uma
soluo de backup baseada na nuvem para
Windows Server 2012 que gerenciada pela
Microsoft. Voc pode usar este servio de
assinatura para fornecer proteo fora do local
contra perda de dados causada por desastres.
Voc faz backup de arquivos e pastas e os
recupera, conforme necessrio, da nuvem
pblica ou privada. Voc pode usar o
Windows Azure Backup Online para
fazer backup e proteger dados crticos
de qualquer local.
O Windows Azure Backup Online foi criado com base na plataforma Windows Azure e usa o
blob storage do Windows Azure para armazenar dados de cliente. O Windows Server 2012 usa
o Windows Azure Online Backup Agent baixvel para transferir dados de arquivo e pasta com segurana
para o Windows Azure Online Backup. Depois que voc instalar o Windows Azure Online Backup Agent,
o agente integrar sua funcionalidade por meio da interface de Backup do Windows Server. Voc
pode baixar o Windows Azure Online Backup Agent do site da Microsoft.
12-16
Recursos-chave
Os principais recursos que o Windows Server 2012 fornece por meio do Windows Azure Backup Online
incluem:
Configurao e gerenciamento simples. A integrao com a ferramenta de Backup

do Windows Server proporciona uma experincia de backup e recuperao uniforme
para um disco local ou para uma plataforma de nuvem. Outros recursos incluem:
o
Interface de usurio simples para configurar e monitorar backups.
Experincia de recuperao integrada para recuperar arquivos e pastas do disco local

ou de uma plataforma de nuvem.
Recuperao de dados fcil para obter dados que foram includos no backup em qualquer
servidor de sua escolha.
Recurso de script que fornecido pela interface de linha de comando do Windows PowerShell.
Backups incrementais no nvel de bloco. O Windows Azure Online Backup Agent executa backups
incrementais acompanhando as alteraes de arquivo e no nvel de bloco e transferindo apenas os
blocos alterados, o que reduz o uso do armazenamento e da largura de banda. Verses pontuais
diferentes dos backups usam o armazenamento de modo eficiente armazenando apenas os blocos
alterados entre essas verses.
Compactao de dados, criptografia e limitao. O Windows Azure Online Backup Agent assegura
que os dados sejam compactados e criptografados no servidor antes de serem enviados ao
Windows Azure Backup Online na rede. Portanto, o Windows Azure Backup Online s armazena
dados criptografados no armazenamento na nuvem. A senha de criptografia no est disponvel
para o Windows Azure Backup Online e, portanto, os dados nunca so descriptografados na nuvem.
Alm disso, os usurios podem definir uma limitao e configurar o modo como o Windows Azure
Online usa a largura de banda da rede ao fazer backup de informaes ou restaur-las.
Verificao da integridade de dados na nuvem. Alm dos backups seguros, os dados de backup
tambm so verificados automaticamente quanto integridade aps a concluso do backup.
Portanto, qualquer corrupo que possa ocorrer por causa da transferncia de dados pode ser
identificado facilmente. Essas corrupes so corrigidas automaticamente no prximo backup.
Polticas de reteno configurveis para armazenamento de dados na nuvem. O Windows Azure

Backup Online aceita e implementa polticas de reteno para reciclar backups que excedem o
perodo de reteno desejado, atendendo polticas comerciais e gerenciando os custos do backup.
Links de referncia: Obtenha mais informaes sobre o Windows Azure

Observao: Neste momento, o Windows Azure Backup Online no
est disponvel em todos os pases. Para obter informaes atualizadas,
visite http://go.microsoft.com/fwlink/?LinkId=270042.
12-17
Consideraes para uma soluo de backup empresarial

O Backup do Windows Server uma soluo
de backup de servidor nico. Durante
o planejamento do backup para uma
empresa, considere os seguintes pontos:
Quantidade mxima de dados perdidos.

Qual o RPO terico do produto?
Os produtos que oferecem restaurao mais
prxima do ponto da falha provavelmente
custam mais que produtos que oferecem
RPOs de 15 minuto ou 30 minutos. Voc
precisa determinar as necessidades da sua
organizao. Sua organizao precisa ser
capaz de recuperar ltima transao do SQL Server ou uma janela de recuperao de 15 minutos
um compromisso aceitvel?
O quo rpida a recuperao de RTO? Quanto tempo necessrio para passar da falha para a
funcionalidade restaurada? Ser capaz de restaurar a ltima transao do SQL Server a soluo ideal,
mas se levar dois dias para recuperar esse ponto, a soluo no ser to til quanto pode parecer.
A soluo fornece backup centralizado? O produto permite a voc centralizar sua soluo de backup
em um servidor ou os backups devem ser executados diretamente em cada servidor na organizao?
Os fornecedores oferecem suporte soluo? Alguns fornecedores usam interfaces de programao

de aplicativos (APIs) no documentadas para fazer backup e recuperar produtos especficos ou fazer
backup de arquivos sem assegurar que o servio esteja em um estado consistente.
A soluo de backup compatvel com seus aplicativos? Por exemplo, uma nova atualizao para um
produto pode tornar sua soluo de backup incompatvel com o aplicativo. Consulte o fornecedor
do aplicativo para determinar se h suporte para a soluo de backup empresarial.
Capacidade de ponto de recuperao. Determine qual a capacidade do ponto de recuperao do

produto. Quantos pontos de restaurao oferece a soluo de proteo de dados empresarial e isso
suficiente para as necessidades da sua organizao?
12-18
O que o Data Protection Manager?

Data Protection Manager (DPM) um produto de
proteo para dados empresariais e recuperao
do Microsoft System Center. O DPM tem os
seguintes recursos:
Centralizao de backup. O DPM usa

uma arquitetura cliente/servidor, na qual
o software cliente instalado em todos os
computadores que sero includos no backup.
Esses clientes transmitem dados de backup ao
servidor DPM. Isso permite que cada servidor
DPM oferea suporte a organizaes de
pequeno a mdio porte. Voc tambm pode
gerenciar vrios servidores DPM de um console de DPM centralizado.
RPO de 15 minutos. O DPM permite instantneos de 15 minutos de produtos com suporte. Isso
inclui a maioria dos conjuntos de produtos empresariais da Microsoft, incluindo Windows Server
com suas funes e servios, Exchange Server, Hyper-V e Microsoft SQL Server.
Oferece suporte para cargas de trabalho da Microsoft. O DPM foi criado especificamente pela
Microsoft para oferecer suporte a aplicativos Microsoft como o Exchange Server, o SQL Server
e o Hyper-V. Porm, o DPM no foi criado especificamente para oferecer suporte a aplicativos
de servidor no Microsoft que no tm estados consistentes em disco ou sem suporte para VSS.
Backup baseado em disco. O DPM pode executar backups agendados em matrizes de disco e redes
de rea de armazenamento (SANs). Voc tambm pode configurar o DPM para exportar dados de
backup especficos em fita para reteno e tarefas relacionadas conformidade.
Backup de local remoto. O DPM usa uma arquitetura que permite a realizao de backup de clientes
localizados em locais remotos. Isso significa que um servidor DPM localizado em uma matriz pode
executar backups de servidores e clientes localizados em links de rede de longa distncia (WAN).
Oferece suporte para estratgias de backup na nuvem. O DPM oferece suporte ao backup de
servidores DPM em uma plataforma de nuvem. Isso significa que um servidor DPM em uma
instalao de hospedagem baseada na nuvem pode ser usado para fazer backup do contedo
de um servidor DPM da matriz. Para redundncia de desastre, voc tambm pode configurar
servidores DPM para fazer backup um do outro.
12-19
Lio 3
Implementao da recuperao de dados e de servidor

A recuperando de servidores e dados requer procedimentos bem definidos e documentados que os
administradores podem seguir quando falhas ocorrem. O processo de recuperao tambm requer
conhecimento do hardware e do software de backup e restaurao, como o DPM e dispositivos de
biblioteca de fitas.
Esta lio descreve como restaurar dados e servidores usando o recurso de Backup do Windows Server
no Windows Server 2012 e o Windows Azure Online Backup no Windows Server 2012.
Objetivos da lio
Descrever as opes para recuperao de servidor.
Descreva as opes para restaurao de servidor.
Descreva as opes para recuperao de dados.
Explicar como executar uma restaurao com o Backup do Windows Server.
Explicar como executar uma restaurao com o Windows Azure Online.
Opes de recuperao de servidor

O Backup do Windows Server no
Windows Server 2012 oferece as opes
de recuperao seguintes:
Arquivos e pastas.: Voc pode fazer backup

de arquivos ou pastas individuais, contanto
que o backup esteja em um volume separado
ou em uma pasta compartilhada remota.
Aplicativos e dados. Voc poder recuperar

aplicativos e dados se o aplicativo tiver
um gravador de VSS e estiver registrado
no Backup do Windows Server.
Volumes. A restaurao de um volume sempre restaura todo o contedo do volume. Quando voc
opta por restaurar um volume, no pode restaurar arquivos ou pastas individuais.
Sistema operacional. Voc pode recuperar o sistema operacional por meio de Windows RE, o DVD
do produto ou uma unidade flash USB.
Servidor completo. Voc pode recuperar o servidor completo por meio de Windows RE.
Estado do sistema. O estado do sistema cria um backup pontual que voc pode usar para restaurar
um servidor a um estado operacional anterior.
12-20
O Assistente de Recuperao no Backup do Windows Server fornece vrias opes para gerenciar
a recuperao de arquivos e pastas. So elas:
Destino de Recuperao. Em Destino de Recuperao, voc pode selecionar uma das seguintes
opes:
o
Local original. O local original restaura os dados ao local para o qual o backup foi criado
originalmente.
Outro local. Outro local restaura os dados em um local diferente.
Resoluo de Conflito. A restaurao de dados de um backup frequentemente apresenta conflito

com as verses existentes dos dados. A resoluo de conflito permite determinar como tratar esses
conflitos. Quando esses conflitos ocorrem, voc tem as seguintes opes:
o
Criar cpias e reter ambas as verses.
Substituir a verso existente pela verso recuperada.
No recupere itens se eles j existirem no local de recuperao.
Configuraes de segurana. Use esta opo para restaurar permisses aos dados que esto
sendo recuperados.
Opes de restaurao de servidor

Voc executa a restaurao de servidor iniciando
o computador a partir da mdia de instalao
do Windows Server 2012, selecionando a opo
de reparo de computador e selecionando a
opo de restaurao de servidor completa.
Alternativamente, voc pode usar a mdia
de instalao em uma unidade flash USB
ou usando Windows RE.
Quando voc executar a restaurao de servidor
completa, considere o seguinte:
Restaurao bare-metal. A restaurao

bare-metal o processo durante o qual
voc restaura um servidor existente em sua totalidade para novo hardware ou o hardware de
substituio. Quando voc executar uma restaurao bare-metal, a restaurao continuar e o
servidor ser reiniciado. Posteriormente, o servidor ficar operacional. Em alguns casos, talvez
seja necessrio reiniciar a conta do Active Directory do computador, porque essas contas s
vezes podem se tornar dessincronizadas.
Unidades de disco iguais ou maiores. O hardware de servidor para o qual voc est restaurando
deve ter unidades de disco do mesmo tamanho ou maiores que as unidades do servidor host original.
Se esse no for o caso, a restaurao falhar. possvel, embora no aconselhvel, restaurar com xito
em hosts que tm processadores mais lentos e menos memria RAM.
Importao para o Hyper-V. Como os dados de backup do servidor so gravados no formato VHD
(que tambm o formato usado para os discos rgidos da mquina virtual), se voc for cuidadoso,
ser possvel usar dados de backup de servidor completo como a base para a criao de uma
mquina virtual. Isso assegura a continuidade comercial durante a transferncia do o hardware
de substituio apropriado.
12-21
Opes de recuperao de dados

Os dados so o componente recuperado com
mais frequncia de uma infraestrutura de TI.
Isso se deve excluso de dados acidental
pelos usurios e a necessidade de recuper-los.
H vrias estratgias que voc pode adotar ao
desenvolver um procedimento de recuperao
de dados. Voc pode:
Permitir que os usurios recuperem seus

prprios dados.
Executar uma recuperao para um local

alternativo.
Executar uma recuperao para o local original.
Executar uma recuperao de volume completo.
Os usurios recuperam seus prprios dados

A recuperao de dados mais comum executada por departamentos de TI a recuperao de arquivos
e pastas que os usurios excluram, perderam ou de algum modo foram corrompidos. A funcionalidade
de Verses Anteriores de Arquivos que foi introduzida no Windows Server 2003, (que voc tambm
pode habilitar em todos os computadores executando o Windows Server 2012) permite que os usurios
recuperem seus prprios arquivos usando as propriedades de arquivo ou pasta diretamente de suas
estaes de trabalho. Depois que os usurios finais forem treinados nisso, o departamento de TI gastar
menos tempo recuperando dados de usurio e poder se concentrar em tarefas mais importantes.
De uma perspectiva de planejamento, voc deve considerar o aumento da frequncia na qual so gerados
instantneos para verses anteriores de arquivos. Isso d aos usurios mais opes quando eles tentam
recuperar seus arquivos.
Recuperar dados para um local alternativo

Um problema de recuperao comum a substituio no intencional de dados importantes durante a
recuperao do backup. Isso pode ocorrer quando a recuperao executada para um local com dados
dinmicos, em vez de para um local separado onde os dados necessrios podem ser recuperados e os
dados desnecessrios descartados.
Quando voc executar uma recuperao para um local alternativo, sempre assegure que tambm so
restauradas as permisses. Um problema comum a recuperao de dados pelos administradores que
incluem material restrito, para um local onde no so aplicadas permisses, permitindo o acesso aos
dados no intencional para usurios que no devem acess-los.
12-22
Recuperar dados para o local original

Durante alguns tipos de falhas, como corrupo de dados ou excluso, voc ter que restaurar dados para
o local original. Esse o caso quando aplicativos ou usurios que acessam os dados so pr-configurados
com informaes sobre o local onde os dados esto.
Recuperar um volume
Se um disco falhar, o modo mais rpido de recuperar os dados pode ser executar uma recuperao
de volume, em vez de uma recuperao seletiva de arquivos e pastas. Quando voc executar uma
recuperao de volume, dever verificar se alguma pasta compartilhada est configurada para os discos
e se as cotas e as polticas de gerenciamento de FSRM ainda esto em vigor.
Observao: Durante o processo de restaurao, voc deve copiar logs de eventos antes
de iniciar esse processo. Se voc substituir os arquivos de log de eventospor exemplo, com
uma recuperao de sistemano poder ler informaes do log de eventos que ocorreram
antes da restaurao iniciada. Esses dados do log de eventos podem lev-lo a informaes
sobre o que causou o problema.
Demonstrao: Uso do Backup do Windows Server para restaurar

uma pasta
Nesta demonstrao, voc ver como usar o Assistente de Recuperao para restaurar uma pasta:
1.
Em LON-SVR1, exclua a pasta C:\HR Data.
2.
No Backup do Windows Server, execute o Assistente de Recuperao e especifique as informaes

seguintes:
3.
Introduo: Um backup armazenado em Outro local
Especifique o Tipo de Local: Pasta compartilhada remota
Especifique a Pasta Remota: \\LON-DC1\Backup
Selecione a Data do Backup: Valor padro, Hoje
Selecione o Tipo de Recuperao: Valor padro, Arquivos e Pastas
Selecionar itens que sero recuperados: LON-SVR1\Local Disk (C:)\HR Data
Especificar opes de recuperao: Outro local (C:)
No Explorador de Arquivos, v para a unidade C e assegure que a pasta HR Data foi restaurada.
Restaurao com o Windows Azure Online Backup

Voc pode usar o Windows Azure Online
Backup para fazer backup de servidores do
Windows Server 2012. Porm, voc no tem
que restaurar dados no mesmo servidor do
qual fez backup.
Voc pode recuperar arquivos e pastas usando
o MMC do Windows Azure Online Backup no
Gerenciador do Servidor ou a interface de linha
de comando do Windows PowerShell. Para usar
o MMC do Windows Azure Online Backup,
execute as etapas seguintes:
1.
Selecione o servidor no qual os dados de

backup foram criados originalmente. Esse servidor pode ser um servidor local ou outro servidor.
Se voc selecionar a opo de outro servidor, dever fornecer suas credenciais de administrador
do Windows Azure Online Backup.
2.
Procure os arquivos que tm que ser restaurados ou voc pode procur-los no Windows Azure
Online Backup.
3.
Depois que voc localizar os arquivos, selecione-os para recuperao e selecione um local onde
os arquivos sero restaurados.
4.
Ao restaurar arquivos, selecione um das seguintes opes:

o
Crie cpias de forma que voc tenha o arquivo restaurado e arquivo original no
mesmo local. O arquivo restaurado tem seu nome no formato seguinte: Data de
Recuperao+Cpia de+Nome do arquivo original.
Substitua as verses existentes pela verso recuperada.
No recupere os itens que j existirem no destino de recuperao.
Depois que voc concluir o procedimento de restaurao, os arquivos sero restaurados no servidor
do Windows Server 2012 no seu local.
12-23
12-24
Laboratrio: Implementao do backup e restaurao

do Windows Server
Cenrio
Muitos dos dados que so armazenados na rede da A. Datum Corporation so extremamente valiosos
para as organizao. Perder esses dados seria uma perda significativa para a organizao. Alm disso,
muitos dos servidores que esto em execuo na rede fornecem servios extremamente valiosos para
a organizao, o que quer dizer que perd-los durante um tempo significativo tambm resultar em
perdas para a organizao. Devido importncia dos dados e servios, fundamental que eles possam
ser restaurados no caso de desastre.
A A. Datum est considerando fazer backup dos dados crticos para um servio baseado na nuvem.
A A. Datum tambm est considerando isso como uma opo para filiais pequenas que no tm
uma infraestrutura de data center completa.
Como um dos administradores de rede snior na A. Datum, voc responsvel para planejar e
implementar uma soluo de recuperao de desastres que assegurar que os dados e servios
crticos possam ser recuperados no caso de qualquer tipo de falha. Voc precisa implementar
um processo de backup e restaurao que possa recuperar dados e servios perdidos.
Objetivos
Backup de dados em um servidor do Windows Server 2012
Restaurar arquivos usando o Backup do Windows Server
Implementar o Windows Azure Online Backup e a restaurao
Mquinas virtuais
24412B-LON-DC1
24412B-LON-SVR1
MSL-TMG1
Nome de Usurio
Senha
Pa$$w0rd
1.

2.
3.
4.

o
Senha: Pa$$w0rd
5.
Repita as etapas 2 a 4 para 24412B-LON-SVR1.
6.
Repita a etapa 2 para MSL-TMG1.
12-25
Exerccio 1: Backup de dados em um servidor do Windows Server 2012

Cenrio
O servidor de LON-SVR1 contm dados financeiros que devem ser includos no backup regularmente.
Esses dados so crticos para a organizao. Voc decidiu usar o Backup do Windows Server para
fazer backup de dados crticos. Voc instalar esse recurso e configurar backups agendados.
1.
Instalar o Backup do Windows Server.
2.
Configurar um backup agendado.
3.
Concluir um backup sob demanda.
Tarefa 1: Instalar o Backup do Windows Server

1.
2.
No Gerenciador do Servidor, instale o recurso de Backup do Windows Server. Aceite os valores

padro no Assistente de Adio de Funes e Recursos.
Tarefa 2: Configurar um backup agendado

1.
2.
Configure o agendamento de backup com as seguintes opes:

o
Configurao de Backup: Servidor completo (recomendado)
Horrio de Backup: Uma vez por dia, 1:00
Tipo de Destino: Fazer backup em uma pasta de rede compartilhada
Pasta Compartilhada Remota: \\LON-DC1\Backup.
Registrar Agendamento de Backup: Nome de Usurio: Administrador
Senha: Pa$$w0rd
Observao: Em um ambiente de produo, voc no armazenar o backup

em um controlador de domnio. Voc s faz isso aqui para fins de laboratrio.
Tarefa 3: Concluir um backup sob demanda

1.
2.
Execute o Assistente de Backup nico para fazer backup da pasta C:\Financial Data para a pasta
remota \\LON-DC1\Backup.
Resultados: Depois de concluir este exerccio, voc ter configurado o recurso de Backup do
Windows Server, agendado uma tarefa de backup e concludo um backup sob demanda.
12-26
Exerccio 2: Restaurao de arquivos usando o backup do Windows Server

Cenrio
Para assegurar que os dados financeiros possam ser restaurados, voc deve validar o procedimento
restaurando os dados em um local alternativo.
1.
Excluir um arquivo do servidor.
2.
Restaurar um arquivo de um backup.
Tarefa 1: Excluir um arquivo do servidor
Em LON-SVR1, abra o Explorador de Arquivos e exclua a pasta C:\Financial Data.
Tarefa 2: Restaurar um arquivo de um backup

1.
2.
No MMC do Backup do Windows Server, execute o Assistente de Recuperao e especifique

as informaes seguintes:
o
Introduo: Um backup armazenado em Outro local
Especifique o Tipo de Local: Pasta compartilhada remota
Especifique a Pasta Remota: \\LON-DC1\Backup
Selecione a Data do Backup: Valor padro, Hoje
Selecione o Tipo de Recuperao: Valor padro, Arquivos e Pastas
Selecionar itens que sero recuperados: LON-SVR1\Local Disk (C:)\Financial Data
Especificar opes de recuperao: Outro local (C:)
Abra a unidade C, e verifique se a pasta Financial Data foi restaurada.
Resultados: Depois de concluir este exerccio, voc ter testado e validado o procedimento para restaurar
um arquivo do backup.
Exerccio 3: Implementar o Windows Azure Online Backup e a restaurao

Cenrio
A A. Datum tem que proteger dados crticos em filiais pequenas. Esses escritrios no tm hardware de
backup e infraestruturas de data center completas. Portanto, a A. Datum decidiu fazer backup dos dados
crticos em filiais em um servio baseado na nuvem usando o Windows Azure Online Backup no Windows
Server 2012.
1.
Instalar o componente Windows Azure Online Backup.
2.
Registrar o servidor com o Windows Azure Online Backup.
3.
Configurar o Windows Azure Online Backup e iniciar um backup.
4.
Restaurar arquivos usando o Windows Azure Online Backup.
5.
Cancelar o registro do servidor do Windows Azure Online Backup.
12-27
Tarefa 1: Instalar o componente Windows Azure Online Backup

1.
Em LON-SVR1, na unidade E, localize o arquivo de instalao do Windows Azure

Online Backup Agent, OBSInstaller. exe.
2.
Comece a instalar oWindows Azure Online Backup Agent clicando duas vezes no arquivo
de instalao.
3.
Conclua a instalao especificando as seguintes informaes:

o
Pasta de Instalao: C:\Program Files\Windows Azure Online Backup Agent.
Local de Cache: C:\Program Files\Windows Azure Online Backup Agent\Scratch.
Aceitao do Microsoft Update: I do not want to use Microsoft Update.
4.
Verifique a instalao e assegure que voc receba a mensagem seguinte: Windows Azure
Online Backup Agent installation has completed succesfully.
5.
Desmarque a caixa de seleo Check for newer updates e clique em Finish.

No menu Iniciar, verifique a instalao clicando em Windows Azure Online Backup,
e Windows Azure Online Backup Shell.
Tarefa 2: Registrar o servidor com o Windows Azure Online Backup

Antes de registrar o servidor, voc deve renomear LON-SVR1 como NOMEDASUACIDADE-SEUNOME.
Por exemplo: NEWYORK-ALICE. Isso ocorre porque voc executar este exerccio online e, portanto,
os nomes de computadores usados neste laboratrio devero ser exclusivos. Se houver mais de um
aluno na sala de aula com o mesmo nome, adicione um nmero ao fim do nome de computador,
como NEWYORK-ALICE-1.
Para renomear LON-SVR1, execute as seguintes etapas:
1.
Na janela Gerenciador do Servidor, renomeie LON-SVR1 como NOMEDASUACIDADE-SEUNOME

e reinicie NOMEDASUACIDADE-SEUNOME.
2.
Aguarde at NOMEDASUACIDADE-SEUNOME ter reiniciado e entre como Adatum\Administrador

Para registrar o servidor no Windows Azure Online Backup, execute as seguintes etapas:
1.
No console do Windows Azure Online Backup, registre LON-SVR1 especificando as seguintes

informaes no Assistente para Registrar Servidor:
o
Configuraes de Criptografia:
Inserir senha: Pa$$w0rdPa$$w0rd
Confirmar senha: Pa$$w0rdPa$$w0rd
Credenciais da Conta:
Nome de Usurio: MSLTestUser@MSL TestOrg.onmicrosoft.com
Senha: Pa$$w0rd
Observao: Em uma situao real, voc digitaria o nome de usurio e a senha da sua
conta de assinatura do Windows Azure Online Backup.
2.
Verifique se voc recebe a mensagem seguinte: Agora, o Windows Azure Online Backup
est disponvel para este servidor
12-28
Tarefa 3: Configurar o Windows Azure Online Backup e iniciar um backup

1.
Alterne para o console do Windows Azure Online Backup.
2.
Configure um backup online usando as seguintes opes:

o
Selecionar Itens que sero Includos no Backup: C:\Financial Data
Especificar Horrio do Backup: Saturday, 1:00
Especificar Configurao de Reteno: Os valores padro
3.
No console do Windows Azure Online Backup, clique em Back Up Now.
4.
Aguarde at a mensagem Backup is successfully completed ser exibida e feche a janela

de mensagem.
Tarefa 4: Restaurar arquivos usando o Windows Azure Online Backup

1.
Em LON-SVR1, abra o Explorador de Arquivos e exclua C:\Financial Data.
2.
3.
Restaure os arquivos e as pastas usando a opo Recover Data e especifique as seguintes

informaes:
4.
Identifique o servidor no qual o backup foi criado originalmente: This server
Selecionar Modo de Recuperao: Browse for files
Selecionar Volume e Data: C:\, e use a data e a hora em que voc executou o ltimo backup.
Selecionar itens que sero recuperados: C:\Financial Data
Especificar opes de recuperao: Original location e Create copies so that you have
both versions.
No Explorador de Arquivos, expanda a unidade C, e verifique se a pasta Financial Data foi restaurada
na unidade C.
Tarefa 5: Cancelar o registro do servidor do Windows Azure Online Backup

1.
2.
Cancele o registro do servidor do Windows Azure Online Backup usando as credenciais seguintes:
o
Nome de Usurio: MSLTestUser@MSLTestOrg.onmicrosoft.com
Senha: Pa$$w0rd
Resultados: Depois de concluir este exerccio, voc ter instalado o Windows Azure Online Backup Agent,
registrado o servidor com o Windows Azure Online Backup, configurado um backup agendado e
executado uma restaurao usando o Windows Azure Online Backup.

1.
2.

3.
4.
Repita as etapas 2 e 3 para 24412B-LON-SVR1 e MSL-TMG1.
12-29

Prtica recomendada:
Analise seus recursos de infraestrutura importantes e dados de misso crtica e essenciais para
os negcios. Com base nessa anlise, crie uma estratgia de backup que proteger os recursos
de infraestrutura crticos da empresa e os dados comerciais.
Trabalhe com os gerentes comerciais da organizao para identificar o tempo de recuperao

mnimo para obter dados essenciais para os negcios. Com base nessas informaes, crie uma
estratgia de restaurao ideal.
Sempre teste os procedimentos de backup e de restaurao regularmente. Execute testes em

um ambiente isolado e no de produo.

Problema comum
O servidor sofreu uma falha principal em

seus componentes.
Perguntas de reviso
Pergunta: Voc deseja criar uma estratgia que inclua como fazer backup de tecnologias
diferentes usadas na organizao, como DHCP, DNS, AD DS e SQL Server. O que fazer?
Pergunta: Com que frequncia voc deve executar backups em dados crticos?

Sua organizao precisa de informaes sobre quais dados incluir no backup, com que frequncia fazer
backup de tipos diferentes de dados e tecnologias, onde armazenar seus dados de backup (no local ou
na nuvem) e com que rapidez pode restaurar os dados de backup. Como voc melhoraria a capacidade
da sua organizao para restaurar dados com eficincia quando necessrio?
Ferramentas
Ferramenta
Uso
Onde encontrar
Backup do
Windows Server
Execute o backup e a restaurao sob demanda

ou agendados de dados e servidores.
Gerenciador do
Servidor - Ferramentas
Windows Azure
Online Backup
Execute o backup sob demanda ou agendado para

a nuvem e restaure os dados do backup localizado
na nuvem.
Gerenciador do
Servidor - Ferramentas
12-30
Avaliao do curso
Sua avaliao deste curso ajudar a Microsoft

a entender a qualidade da sua experincia
de aprendizagem.
Solicite ao seu instrutor o acesso ao formulrio
de avaliao do curso.
A Microsoft manter em sigilo suas respostas a esta

pesquisa e usar suas respostas para melhorar sua
experincia de aprendizagem futura. Sua avaliao
franca e honesta muito valiosa.

Windows Server 2012 - ADM412

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Windows Server 2012 - ADM412

Enviado por

Direitos autorais:

Formatos disponíveis

Configurao de servios avanados do Windows Server 2012

Microsoft Certified Trainers e Instructors o seu instrutor um especialista tcnico

Benefcios do Exame de Certificao aps o treinamento, considere a possibilidade

Garantia de satisfao do cliente os nossos Certified Partners for Learning Solutions

Desejamos a voc uma excelente experincia em termos de aprendizado e uma carreira de

Value of Certication: Team Certication and Organizational Performance, novembro de 2006

Configurao de servios avanados do Windows Server 2012

Stan Reimer desenvolvedor de contedo

Damir Dizdarevic Desenvolvedor de Contedo/Especialista

Orin Thomas Desenvolvedor de Contedo

Vladimir Meloski Desenvolvedor de Contedo

Configurao de servios avanados do Windows Server 2012

Nick Portlock Autor

Gary Dunlop Especialista

Ulf B. Simon-Weidner Revisor Tcnico

Configurao de servios avanados do Windows Server 2012

Mdulo 2: Implementao de servios de arquivo avanados

Mdulo 3: Implementao do Controle de Acesso Dinmico

Mdulo 4: Implementao de implantaes distribudas dos Servios de Domnio

Mdulo 5: Implementao de sites e da replicao dos Servios de Domnio do Active Directory

Configurao de servios avanados do Windows Server 2012

Mdulo 6: Implementao dos Servios de Certificados do Active Directory

Mdulo 7: Implementao do Active Directory Rights Management Services

Mdulo 8: Implementao dos Servios de Federao do Active Directory

Mdulo 9: Implementao do Balanceamento de Carga de Rede

Mdulo 10: Implementao do cluster de failover

Configurao de servios avanados do Windows Server 2012

Mdulo 11: Implementao do cluster de failover com o Hyper-V

Mdulo 12: Implementao da recuperao de desastres

Gabaritos dos laboratrios

Sobre este curso

Sobre este curso

Instalao e configurao do o Windows Server 2012 em ambientes empresariais existentes ou

Configurao do armazenamento local

Configurao de funes e recursos

Configurao de servios de arquivo e impresso

Configurao de servidores Windows Server 2012 para administrao local e remota

Configurao de endereos IPv4 e IPv6

Configurao de DNS (Sistema de Nomes de Domnio) e DHCP

Instalao de controladores de domnio

Criao e configurao de usurios, grupos, computadores e unidades organizacionais (UOs)

Criao e gerenciamento de Polticas de Grupo

xxii Sobre este curso

Configurao de polticas de segurana locais

Configurao do Firewall do Windows

Configurao do Windows Server 2012 Hyper-V

Conhecimento equivalente ao curso 24411: Administrao do Windows Server 2012:

Implantao e gerenciamento de imagens do Windows Server

Instalao e configurao do WSUS (Windows Server Update Services)

Monitoramento do ambiente Windows Server 2012

Instalao e configurao do Sistema de Arquivos Distribudos (DFS)

Instalao e configurao do Gerenciador de Recursos de Servidor de Arquivos (FSRM)

Configurao de polticas de acesso e auditoria de arquivo e disco

Configurao de segurana de DNS e integrao com o AD DS

Manuteno da integridade da rede pela configurao do Acesso de Rede usando NPS

Configurao de acesso remoto usando VPNs (redes virtuais privadas) e DirectAccess

Configurao de controladores de domnio

Gerenciamento e manuteno do ambiente do AD DS

Gerenciamento e manuteno do ambiente de domnio do Windows Server 2012 usando

Configurar recursos avanados para o DHCP e DNS e configurar IPAM (Gerenciamento

Configurar servios de arquivo para satisfazer requisitos comerciais avanados.

Configurar o Controle de Acesso Dinmico para gerenciar e auditar o acesso a arquivos

Fornecer alta disponibilidade e balanceamento de carga para aplicativos baseados na Web

Implantar e gerenciar mquinas virtuais de Hyper-V em um cluster de failover.